Антивирусная программа AVZ - Олега Зайцева

на страницах сайта

www.electrosad.ru
 

Утилита является прямым аналогом программ Trojan Hunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление AdWare, SpyWare и троянских программ.
Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:
SpyWare, AdvWare программ и модулей (это одно из основных назначений утилиты);
Руткитов и вредоносных программ, маскирующих свои процессы Сетевых и почтовых червей;
Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);
Троянских программ-звонилок (Dialer, Trojan.Dialer, Porn-Dialer); Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем. я постарался сделать более подробную выборку с сайта Олега Зайцева, чтобы Вы представили сложность работы с программой. Но программа стоит того чтобы знать о ней и работать с ней, пусть даже не всегда используя все ее возможности.

 
 

  Сразу следует отметить, что программы категорий SpyWare, AdWare по определению не являются вирусами или троянскими программами. Они шпионят за пользователем и загружают информацию и программный код на пораженный компьютер в основном из маркетинговых соображений (т.е. передаваемая информация не содержит критических данных – паролей, номеров кредитных карт и т.п., а загружаемая информация является рекламой или обновлениями). Однако очень часто грань между SpyWare и троянской программой достаточно условна и точная классификация затруднительна. Моя методика классификации и критерии описаны в данной справочной системе. Дополнительную информацию о вредоносных программах можно найти в книге:

 

"Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита"

 

Особенностью программы AVZ является возможность настройки реакции программы на каждую из категорий вредоносных программы – например, можно задать режим уничтожения найденных вирусов и троянских программ, но заблокировать удаление AdWare.

Другой особенностью AVZ являются многочисленные эвристические проверки системы, не основанные на механизме поиска по сигнатурам – это поиск RootKit, клавиатурных шпионов, различных Backdoor по базе типовых портов TCP/UDP. Подобные методы поиска позволяют находить новые разновидности вредоносных программ.

Кроме типового для программ данного класса поиска файлов по сигнатурам в AVZ встроена база с цифровыми подписями десятков тысяч системных файлов. Применение данной базы позволяет уменьшить количество ложных срабатываний эвристики и позволяет решать ряд задач. В частности, в системе поиска файлов есть фильтр для исключения известных файлов из результатов поиска, в диспетчере запущенных процессов и настроек SPI производится цветовое выделение известных процессов, при добавлении файлов в карантин производится блокировка добавления известных AVZ безопасных файлов.

Как показала моя практика, очень часто программа типа SpyWare может быть классифицирована как AdWare и наоборот (причины просты – целью шпионажа в большинстве случаев является целевая реклама). Для таких случаев в своей классификации я ввел обобщающую категорию Spy, которая грубо может трактоваться как AdWare+SpyWare. Термин Spy переводится как «шпион», «тайный агент», «следить», «подглядывать», «совать нос в чужие дела». Этот термин достаточно хорошо подходит к программам подобного класса.

Начиная с версии 4.29 в AVZ локализация интерфейса и протоколов выполняется на основе обновляемых баз, на текущий момент поддерживается русский и английский язык, выбор языка производится автоматически или вручную при помощи параметра командной строки Lang или профиля локализации.  Выбор языка идет автоматически (на русскоязычной системе русский, на остальных - английский) или вручную через параметры командной строки и профиль локализации.  Параметр командной строки - lang=X, где X - название локализации, RU для русского, EN - для английского. Т.е. для принудительного включения русского языка нужно вызывать AVZ в виде avz.exe lang=ru (соответственно для принудительного включения английского avz.exe lang=en)

 

Ограничения программы:
  1. Т.к. утилита направлена в первую очередь на борьбу с SpyWare и AdWare модулями, и в настоящий момент она не поддерживает проверку архивов некоторых типов, PE упаковщиков и документов. Для борьбы со SpyWare в этом просто нет надобности. Тем не менее, утилита совершенствуется и появление подобных функций планируется;
  2. Утилита не лечит программы, зараженные компьютерными вирусами.   Для качественного и корректного лечения зараженной программы необходимы   специализированные антивирусы (например, антивирус Касперского, DrWeb,   Norton Antivirus, Panda и т.п.). Делать нечто похожее на них (изобретая тем  самым велосипед) у меня нет никакого желания, тем более что вирусы такого рода встречаются все реже.


 

Инсталляция и системные требования

Антивирусная утилита AVZ не требует инсталляции на ПК  (у текущей версии  в комплекте нет инсталлятора и деинсталлятора - в них просто нет надобности). Естественно, не требуется и деинсталляция.  

Единственно требование для нормального функционирования утилиты - размещение баз с описанием  вирусов  (они имеют расширение *.avz) в подкаталоге BASE утилиты. Антивирусная утилита AVZ при выключенном лечении (это режим по умолчанию) в процессе работы ничего не изменяет в  настройках системы и реестре, не устанавливает и не удаляет классы и библиотеки, поэтому проверка компьютера при выключенном лечении не оказывает на ПК и операционную систему никакого воздействия. Единственным изменением, вносимым на время работы в конфигурацию компьютера, является загрузка драйвера AVZ.SYS, который на время проверки копируется в каталог Driver и удаляется после завершения проверки. Этот драйвер устанавливается и загружается только при включенном режиме поиска руткитов.

Работа утилиты в режиме лечения вносит изменения -  в этом случае с ПК удаляются найденные вредоносные программы и (в ряде случаев) сопутствующая им информация (ключи реестра, ярлыки и т.п.)

Антивирусная утилита AVZ не выдвигает особых системных требований - ее работоспособность проверена на сотнях компьютеров с операционной системой  W9x, Windows NT, 2000 Professional и Server, XP Home Edition и XP Professional (SP1, SP2, SP3), Windows 2003 (SP1), Windows Vista (SP1, SP2), Windows 7. Технологии  AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista. При использовании AVZ необходимо учитывать, что при его применении на серверах следует соблюдать особую осторожность, особенно в случае запуска AVZ из терминальной сессии.

Антивирусная утилита AVZ не обменивается информацией с сетью и Интернет (не передает и не принимает данные, не прослушивает порты), поэтому для ее эксплуатации не требуется дополнительная настройка Firewall. Исключением является обновление AV баз, которое запускается по команде пользователя - для обновления баз AVZ обращается к указанному в настройке сайту по порту 80 с использованием протокола HTTP.

В случае необходимости можно произвести принудительное удаление ключей реестра и файлов, которые AVZ мог создать на диске, что эквивалентно его деинсталляции - для этого следует воспользоваться микропрограммой номер 6 в разделе Стандартные скрипты или выполнить скрипт:

begin

ExecuteStdScr(6);

end.

Структура папок программы

Утилита AVZ может устанавливаться в любую папку, но для определенности будем считать, что это папка с именем AVZ.

Структура папок:

AVZ - папка в которой находятся файлы и папки,

Base - Базы AVZ с описаниями вредоносных программ и методик их лечения. Загруженные обновления необходимо помещать именно в эту папку,

Backup - Папка с резервными копиями критических настроек системы. Резервные копии создаются автоматически в процессе лечения и восстановления системы или выполняются по команде пользователя. Папка содержит подкаталоги с именами вида «ГГГГ-ММ-ДД», где ГГГГ – год, ММ – месяц, ДД – день,

Infected - Папка с копиями удаленных вредоносных объектов,

Quarantine - Карантин – папка с копиями подозрительных объектов,

Папки Infected и Quarantine внутри содержат подкаталоги с именами вида «ГГГГ-ММ-ДД», где ГГГГ – год, ММ – месяц, ДД – день.
Такая организация существенно упрощает последующую работу с этими папками (в частности, упрощается их очистка и просмотр).

На заметку:

Папки Infected и Quarantine могут быть перемещены в любой каталог с помощью ключа командной строки QuarantineBaseFolder
 

Техническая поддержка

Несмотря на то, что утилита AVZ является бесплатной программой, у нее имеется техническая поддержка по электронной почте:

  • avz@z-oleg.com - по этому адресу Вы можете задать вопросы по работе программы, сообщить об ошибках или прислать предложения по усовершенствованию программы и методик ее работы;
  • newvirus@z-oleg.com - на этот адрес следует присылать недетектируемые AVZ вирусы / протоколы AVZ / подозрительные файлы для проверки (отправка подозрительного объекта должна производиться в архиве формата ZIP с паролем "virus", крайне желательно подозрительные объекты поместить в карантин AVZ и создать архив средствами карантина AVZ).
  • VirusInfo.Info - в этой конференции вирусологов есть раздел "Помогите", в котором можно описать свою проблему и приложить протокол исследования системы AVZ (подробности запроса помощи описаны в правилах данной конференции). AVZ в частности обучается по найденным в данной конференции вредоносным программам, анализ протоколов и формирование рекомендаций происходит достаточно оперативно - в большинстве случаев проблему удается решить в деть обращения за помощью. С помощью сервиса "Прислать чистые файлы" данного сайта можно прислать архив с чистыми файлами для базы безопасных AVZ, а в разделе "Beta тестирование" идет обсуждение новых версий AVZ и предложений по его доработке.
  • По адресу http://www.z-oleg.com/secur/avz/report.php расположена форма, при помощи которой можно сообщить об ошибке, возникающей в процессе работы с AVZ. Следует понимать, что обращение через WEB форму анонимно и рекомендуется применять ее для рапортов об ошибках. Нет смысла задавать через эту форму вопросы, не указав параметры обратной связи
  • По адресу http://www.z-oleg.com/secur/avz/uploadvir.php расположен сервис, предназначенный для отправки подозрительных файлов для анализа и вредоносных программ, которые не детектируются AVZ для их включения в базы. Через данную форму следует отсылать только архивы, созданные из карантина AVZ

  

При написании письма желательно четко сформулировать тему письма, кратко и точно изложить суть проблемы, пожелания или вопроса. От этого будет зависеть время реакции на письмо (согласитесь, заголовок "Подозрительный объект для проверки" гораздо информативнее, чем "Спасите !", "Помогите", "SOS" и т.п.). Если Вы присылаете подозрительный объект, о котором у Вас есть информация (например, AVZ заподозрил некую DLL как клавиатурный шпион, а Вы знаете, что она является компонентом программы X) - пожалуйста, укажите ее - это упростит и ускорит анализ. Файлы, присланные не через карантин AVZ или в архивах экзотического формата рассматриваются в последнюю очередь.

 

При написании письма желательно придерживаться следующих правил:

1. Создавать письма с информативными заголовками. Это упростит анализ и ускорит время реакции. Например "Подозрительный файл (срабатывание антикейлоггера)" или "Подозрение на RootKit" - куда информативнее, чем заголовки типа "SOS", "Спасите", "Помогите", "Караул", "от Васи Пупкина" и т.п.

 

2. В тексте письма желательно указать:

2.1 Версию операционной системы

2.2 Краткую формулировку проблемы (т.е. что и где обнаружилось, где, какие симптомы)

2.3 Желательно приложить протокол AVZ и результаты исследования системы (Файл/Исследование системы)

 

3. В случае, если подозрительные файлы в архиве занимают большой объем (более 1-2 МБ), то необходимо предварительно прислать письмо с описанием проблемы, протоколами и указанием размера подозрительных файлов.
 

Назначением программы является:
  • AV база. Позволяет диагностировать известные AVZ malware - программы и удалить их. Удаление предполагает автоматическую зачистку критичных для работы системы следов вредоносной программы в реестре и INI файлах. В этом плане удобно применять AVZ для экспресс-зачистки зараженного компьютера перед применением "тяжелой артиллерии" - установки мощного антивирусного пакета и проведение сканирования с его помощью. Сканер может проверять архивы распространенных типов, файлы электронной почты, потоки NTFS. AV сканер может интегрироваться с TheBat при помощи плагина. Базы AVZ обновляются ежедневно.
  • Оперативное автоматическое исследование компьютера с формированием протокола в формате HTML. В ходе исследования автоматические отфильтровываются файлы, прошедшие проверку по базе безопасных AVZ и каталогу безопасности Microsoft, что существенно уменьшает размер протоколов. Данный режим удобен для оперативного изучения подозрительного компьютера администратором, а так-же для удаленного исследования системы. Возможность запуска сканирования системы и карантина из скрипта позволяет полностью автоматизировать данную операцию, сведя действия пользователя на месте к запуску bat файла;
  • Автоматический карантин файлов, не имеющих ЭЦП Microsoft и не описанных в базе безопасных AVZ для их последующего изучения вручную или антивирусными программами. Данный режим удобен для быстрого сбора всех неопознанных файлов для их последующего анализа. Кроме того, в AVZ предусмотрен карантин по списку и команды добавления в карантин в скриптах, что упрощает дистанционный сбор подозрительных файлов с проверяемых компьютеров;
  • Выполнение поиска руткитов и иных перехватчиков API  с функцией поиска скрытых процессов. Кроме анализа перехватов AVZ обладает функций нейтрализации перехватчиков UserMode и KernelMode;
  • Выполнение восстановление системы. AVZ содержит микропрограммы для автоматического исправления типовых повреждений настроек Internet Explorer и проводника, сброса настроек рабочего стола, нейтрализация устанавливаемых троянскими программами правил Policy. Данные операции не производятся антивирусами и очень часто после удаление троянской программы или SpyWare нормальная работа системы не восстанавливается
  • Автоматическая проверка настроек SPI/LSP и исправление ошибок в автоматическом режиме. Позволяет устранить большинство типовых проблем с LSP, возникающих после удаления некоторых AdWare. В случае невозможности восстановления настроек предусмотрено их полное пересоздание;
  • Поиск файлов на диске. Поиск защищен антируткитом AVZ и обладает рядом полезных для поиска вирусов/троянов функций, в частности исключение из списка найденных файлов, прошедших проверку по базе безопасных AVZ и каталогу безопасности Microsoft, что позволяет существенно сузить область поиска;
  • Скриптовой язык, позволяющий управлять AVZ. Скрипты позволяют применять AVZ в корпоративной сети - в этом случае AVZ может запускаться из logon-скрипта или автозапуска, и работать по скрипту, созданному администратором. Кроме того, скрипт позволяют автоматизировать большинство операций, выполняемых AVZ.
  • Встроенный ревизор диска. Ревизор создает базы, содержащие информацию о файлах в соответствии с настройками пользователя (задаются каталоги, маски поиска). Данные базы могут применяться для отслеживания изменений на диске.
  • Анализатор запущенных процессов, позволяющий в режиме максимальной эвристики производить поиск подозрительных объектов
  • Система AVZGuard, позволяющая защитить AVZ и любые указанные им приложения от действующих в системе вредоносных программ и ограничит влияние вредоносных программ на систему.
  • Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
  • Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
  • Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
  • Поиск потенциальных уязвимостей. Предназначен для поиска некорректных настроек ПК, которые могут отрицательно влиять на безопасность
  • Резервное копирование. Предназначено для выполнения резервных копий критических настроек системы. Резервное копирование выполняется по команде пользователя или автоматически в ходе лечения и восстановления системы.
  • Мастер поиска и устранения проблем. Данная система предназначена для автоматического поиска и устранения проблем, возникающих после заражения вредоносными программами, а так же для устранения следов активности пользователя и уборки мусора на ПК.

Таким образом AVZ позиционируется как интерактивный инструмент, предназначенный для полуавтоматического изучения ПК с целью поиска и уничтожения вредоносных программ. Одной из основных особенностей AVZ является поддержка внешних скриптов, под управлением которых возможен автоматический анализ, чистка компьютера и карантин файлов. Система команд скриптового языка и примеры описаны справке.

 

Работа с программой

Перед началом работы с программой на время проверки и лечения рекомендуется отключить средства фонового мониторинга изменений реестра и антивирусные мониторы. Данное условие не является обязательным, однако его несоблюдение может привести к существенному увеличению длительности сканирования - несколько часов вместо нескольких минут. Причина этого состоит в том, что антивирусный монитор проверяет все открываемые файлы в момент их открытия.

 

Главное окно программы

Главное окно программы содержит все основные элементы управления - главное меню, настройки процесса поиска и лечения, окно просмотра протокола и строку статуса.

 

  Кнопка "Пуск" позволяет запустить проверку выбранных дисков и каталогов.

Кнопка "Пауза" позволяет временно приостановить проверку файлов. Данная кнопка автоматически разблокируется при выполнении операций, для которых допустима приостановка. Возобновление сканирования производится повторным нажатием на кнопку "Пауза"

Кнопка "Стоп" позволяет в любой момент прервать процесс проверки.

На время проверки большинство элементов интерфейса AVZ блокируются

 

Закладка "Область поиска"

предназначена для задания области поиска вредоносных программ. Она содержит древовидный список дисков и папок. Напротив каждого элемента списка имеется переключатель, который позволяет включить любой из элементов списка в поиск или исключить из него.

 

 

При нажатии над списком папок правой кнопки мыши выводится меню, позволяющее:
  • Отметить все жесткие диски (Hp)
  • Отметить все CD/ROM и DVD/ROM диски
  • Отметить все дисководы и Flash диски
  • Обновить список дисков. Обновление списка возможно по нажатию клавиши F5
  • Добавить папку. Выполнение этого пункта меню приводит к выводу диалогового окна с запросом имени папки. Данная функция удобна для быстрой отметки каталога в случае, если имеется полный путь к нему.
  • Проверять только файлы в указанной папке (без подкаталогов). Отмечает текущую папку в особом режиме - в нем сканируются только файлы, размещенные в данной папке - без сканирования вложенных каталогов.

 

Переключатели напротив каталогов определяют режим сканирования, возможны варианты:

- файлы и подкаталоги данного каталога не сканируются,

- сканируются все файлы и подкаталоги данного каталога,

- сканируются все файлы данного каталога и часть его подкаталогов (эта ситуация возникает, если подкаталогов несколько и отмечена часть из них),

- сканируются только файлы данного подкаталога, подкаталоги не сканируются. Включить этот режим сканирования каталога можно через контекстное меню, вызываемое по правой кнопки мыши - пункт "Проверять только файлы в указанной папке (без подкаталогов)".

 

Переключатель "Проверять запущенные процессы"

Переключатель "Проверять запущенные процессы" позволяет включить проверку всех запущенных процессов и загруженных библиотек перед началом проверки системы. Этот переключатель включен по умолчанию, и отключать его не рекомендуется. Если разрешено лечение, то при обнаружении процесса вредоносной программы AVZ принудительно завершает  процесс перед удалением файла.

 

Переключатель "Эвристическая проверка системы"

Переключатель "Эвристическая проверка системы" включает дополнительную эвристическую проверку системы. Особенность этой проверки состоит в анализе запущенных процессов, реестра и диска для поиска неизвестных для AVZ разновидностей вредоносных программ по их характерным признакам. Если этот режим включен и AVZ обнаружит подозрительные объекты, то он сообщит об этом в протоколе. Включение эвристической проверки увеличивает общее время сканирования системы. Основой эвристической проверки системы являются так называемые микропрограммы эвристики, которые хранятся в базах данных и постоянно обновляются.

Переключатель "Поиск потенциальных уязвимостей"

Переключатель "Поиск потенциальных уязвимостей"включает подсистему, которая ищет потенциальные проблемы в области безопасности. Следует понимать, что выдаваемые данной системой сообщения носят рекомендательный характер из раздела "На это стоит обратить внимание". Если после выполнения поиска потенциальных уязвимостей выполнить исследование системы, то в средство формирования скрипта протокола исследования системы будут добавлены пункты для создания скрипта устраняющего найденный проблемы (при условии, что их можно исправить скриптом). 

 

На закладке "Область поиска" также размещается прогресс-индикатор, показывающий примерное состояние процесса сканирования.

 

Закладка "Типы файлов"

позволяет настроить типы проверяемых файлов.

 

 

Переключатель "Типы файлов".

Данный переключатель позволяет выбрать типы файлов, проверяемые AVZ.

По умолчанию выбран пункт "Потенциально опасные файлы" - в этом случае AVZ проверяет только файлы с определенными расширениями (EXE, DLL, OCX, SYS, CAB, INF …) - т.е. исполняемые файлы или файлы, которые могут содержать данные для установки вредоносных программ или опасные скрипты.

Выбор пункта "Все файлы" приводит к проверке абсолютно всех файлов, независимо от их расширения. При сканировании диска в этом режиме проверяется большее количество файлов, в результате скорость проверки замедляется. В этом режиме блокируется переключатель "Включая файлы по маске", т.к. в данном случае он теряет смысл.

Выбор пункта "Файлы по маскам пользователя" приводит к тому, что поиск ведется только по маскам, заданным пользователем в полях "Включая файлы по маске" и "Исключая файлы по маске".

На заметку:

Если на закладке "Область поиска" включен переключатель "Проверять запущенные процессы", то запущенные программы и загруженные библиотеки проверяются в любом случае, независимо от их расширения и настройки в радиогруппе "Типы файлов".

 

Переключатель "Включая файлы по маске"

Переключатель "Включая файлы по маске:" позволяет включить в поиск файлы, соответствующие заданной пользователем маске. Этот переключатель теряет смысл в режиме "Все файлы" и при выборе этого режима автоматически выключается и становится недоступным.

 

Переключатель "Исключая файлы по маске"

Переключатель "Исключая файлы по маске:" позволяет исключить из проверки файлы, соответствующие заданной пользователем маске. Исключение файлов по маске может использоваться совместно с включением по маске или режимов "Все файлы". Указание одинаковых элементов в списке включения и исключения не является ошибкой, исключение имеет приоритет над включением - например, при указании включения в сканирование файлов *.vir и исключения *.vir приоритетно исключение. Более того, исключение по более общей маске доминирует над включением, например при включении trojan*.exe и исключении *.exe файл с именем trojan.exe будет исключен из проверки

На заметку:

Поля с маской могут включать несколько масок, разделенных запятой, пробелом или символом ";". В маске могут присутствовать символы "?" (любой символ в позиции знака ?) и * (любые символы).

*.* - поиск всех файлов

*.exe - поиск файлов с расширением exe

dialer.exe - поиск файла с конкретным именем "dialer.exe"

dialer.exe, *.dll, trojan*.sys - поиск файлов с именем dialer.exe или файлов с любым именем и расширением DLL или файлов с именем Trojan<любые символы>.sys

*.exe, *.dll, *.sys, *.ocx - поиск файлов с указанными расширениями

 

Переключатель "Отчет о чистых объектах"

Переключатель "Отчет о чистых объектах" позволяет включить в протокол список файлов, в которые проверены AVZ и, по его мнению, не являются вирусами или вредоносными программами.

 

Переключатель "Проверять чистые объекты по базе безопасных"

Данный переключатель доступен только при включенном переключателе "Отчет о чистых объектах". При его включении каждый файл, не являющийся по мнению AVZ вирусом или вредоносной программой проверяется по базе безопасных файлов и результаты этой проверки заносится в протокол. Данная операция замедляет сканирование и полезна для системных администраторов и вирусологов, проводящих сортировку файлов перед анализом.

 

Переключатель "Проверять потоки NTFS"

Данный переключатель включает проверку потоков в NTFS файлах. Потоки не видны при просмотре диска при помощи файловых менеджеров и проводника, поэтому многие вредоносные программы маскируют свои исполняемые файлы, размещая их в потоке. AVZ может проверять потоки и удалять из них найденные вредоносные объекты. Переключатель включен по умолчанию и его отключение не рекомендуется

 

Переключатель "Проверять архивы"

Управляет проверкой архивов. Переключатель включен по умолчанию. Под архивом понимаются так-же CHM файлы, MHT файлы, файлы электронной почты и прочие структуры, которые могут содержать внутри себя другие файлы.

 

Переключатель "Не проверять архивы более xx мб."

Данный переключатель активен, если включена проверка архивов. По умолчанию он включен и архивы размером более 10 мб не проверяются. Пороговый размер задается пользователем, но он не может быть менее 1 мб.
 

Закладка "Параметры поиска"

позволяет настроить параметры поиска:

 

Группа "Эвристический анализ"

содержит регулятор уровня срабатывания эвристики. AVZ поддерживает 4 уровня эвристического анализа:

  • Эвристический анализ отключен. В этом случае обнаруживаются только известные AVZ вредоносные объекты при полном совпадении проверяемого объекта с описанием в базе;
  • Минимальный уровень эвристики - в этом режиме AVZ выдает предупреждения при обнаружении объектов, очень похожих на вредоносные;
  • Средний уровень эвристики - аналогичен  минимальному, но порог срабатывания ниже. Это рекомендуемый режим работы, в котором уровень ложных срабатываний обычно не превышает 10-15%;
  • Максимальный уровень эвристики - этот режим часто называют "параноидальным", так как предупреждения о подозрении на вирус выдаются даже при обнаружении отдаленного сходства проверяемого объекта с вредоносным. В этом режиме возможны многочисленные ложные срабатывания. При установке максимального уровня эвристики становится доступным переключатель "Расширенный анализ". Включение данного переключателя задействует дополнительные проверки, которые позволяют обнаруживать подозрительные объекты по второстепенным признакам типа двойного расширения, наличия в имени большого количества пробелов перед расширением и т.п. Расшифровка основных сообщений эвристического анализатора приведена в разделе Эвристический анализатор AVZ;

 

Группа "RootKit"

Группа "RootKit" содержит настройки системы обнаружения и блокирования RootKit. Переключатель "Детектировать RootKit" позволяет включить детектор RootKit, который пытается обнаружить присутствие в системе RootKit по характерным для него признакам. Следует отметить, что возможны своего рода ложные срабатывания - в качестве RootKit могут детектироваться системные утилиты, антивирусные мониторы, Firewall. Это нормальное явление, т.к. подобные программы и утилиты вмешиваются в работу других приложений и искажают работу стандартных API функций.

Переключатель "Блокировать RootKit" доступен только при включенном переключателе "Детектировать RootKit" и позволяет включить систему активного противодействия RootKit. Следует отметить, что включение противодействия RootKit может привести к непредсказуемым последствиям и нужно быть готовым к зависанию программы AVZ и системы в целом. Поэтому перед активацией противодействия RootKit необходимо закрыть все программы, желательно отключится от сети, и затем выгрузить антивирусный монитор и Firewall.

 

При включении блокирования RootKit автоматически включается система эвристического поиска процессов и файлов RootKit. Принцип действия системы основан на анализе системы до и после блокировки перехватчиков, что позволяет обнаружить маскируемые процессы, сервисы и драйверы.

 

Система AVZGuard и антируткит режима ядра являются взаимоисключающими, при включении AVZGuard нейтрализация руткитов в режима ядра отключается.

 

На заметку:

В случае проверки системы с нейтрализацией Kernel RootKit необходимо перезагрузиться !!

Это связано с тем, что нейтрализация перехватчиков может нарушить работу антивирусных мониторов, компонент Firewall и прочих программ, отвечающих за безопасность. Перезагрузка актуальна только в случае восстановления перехваченных функций - в этом случае AVZ указывает на необходимость перезагрузки в конце протокола.

 

Группа "Winsock  Service Provider"

Группа "Winsock  Service Provider" позволяет настроить работу системы проверки и настройки анализатора SPI (который более известен как LSP благодаря утилите LSP Fix). Настройки SPI модифицируют многие современные вирусы и SpyWare, типовые проявлением повреждения настроек является появление сбоев при работе в Интернет.  Переключатель "Проверять настройки SPI / LSP" позволяет включить анализатор настроек - при этом проверка производится автоматически и все найденные проблемы и ошибки выводятся в протокол. Установка переключателя "Автоматически исправлять ошибки в SPI/LSP" позволяет включить систему автоматического исправления найденных ошибок - исправление ошибок производится в автоматическом режиме и не требует от пользователя понимания тонкостей работы  SPI. Начиная с версии 4.26 в случае обнаружения ошибок перед их автоматическим исправлением AVZ автоматически создает резервную копию настроек SPI в папке BackUp. Резервная копия является стандартным REG файлом и может быть импортировна в реестр в случае необходимости.

Для устранения ошибок в ручном режиме рекомендуется использовать Менеджер Winsock SPI (LSP, NSP, TSP).

 

Переключатель "Поиск клавиатурных шпионов (Keylogger)"

Переключатель "Поиск клавиатурных шпионов (Keylogger)" позволяет включить детектор клавиатурных шпионов и троянских DLL (под троянской DLL понимается библиотека, внедряемая в адресное пространство запущенных процессов). Поиск ведется без применения механизма сигнатур, в результате чего результаты носят вероятностный характер. Для оценки степени похожести обнаруженных библиотек на клавиатурный шпион (KeyLogger) применяется нейросеть, распознающая характерные особенности клавиатурного перехватчика. Кроме того, AVZ производит поведенческий анализ всех заподозренных библиотек и выводит собранную информацию в протокол.

 

На заметку: Анализатор AVZ и нейросеть в состоянии найти подозрительные библиотеки и оценить степень их похожести на типовые перехватчики событий оконных событий, событий клавиатуры и мыши (т.н. hook). Однако анализатор не может отличить вредоносный перехватчик (предназначенный для слежения за пользователем) и перехватчик, выполняющий полезные действия.

 

Переключатель "Поиск портов TCP/UDP троянских программ"

Переключатель "Поиск портов TCP/UDP троянских программ" включает автоматический анализ списка открытых портов TCP и UDP. В составе AVZ имеется специальная база, в которой описаны несколько сотен портов, применяемых распространенными троянскими программами, Backdoor и вирусами. При обнаружении открытых портов, описанных данной базе, в протокол выводится предупреждение с указанием номера порта и списка вредоносных программ, применяющих данный порт. Открытые порты TCP и UDP можно также просмотреть в окне "Открытые порты TCP/UDP"

 

Переключатель "Автоматически исправлять системные ошибки"

Переключатель "Автоматически исправлять системные ошибки" включает режим автоматического устранения опасных системных ошибок. Поиск системных ошибок ведется в ходе сканирования системы, на шаге 9. По умолчанию данный переключатель отключен, поэтому поиск ошибок ведется, информация об ошибках записывается в протокол, но они не устраняются. Следует учитывать, что помимо автоматического устранения ошибок можно применять мастер поиска и устранения проблем, который позволяет вручную выбрать, какие конкретно из найденных проблем следует исправить. В ходе автоматического устранения системных ошибок ведется запись проделанных изменений, позволяющая откатить эти изменения в случае необходимости через мастер поиска и устранения проблем.

Группа "Параметры лечения"

содержит настройки, определяющие действия AVZ при обнаружении вирусов.

 

Основным в этой группе является переключатель "Удалять найденные вирусы". По умолчанию данный переключатель отключен и AVZ работает в диагностическом режиме - информация обо всех найденных вредоносных объектах заносится в протокол, но никаких действий над ними не производится (во время сканирования AVZ ничего не изменяет в реестре или на диске).

 

Переключатель "Удалять найденные вирусы"

При включении переключателя "Удалять найденные вирусы" AVZ переходит в режим лечения, при этом становятся доступными настройки для каждой из категорий вредоносных объектов. Для каждой категории объектов можно выбрать одно из двух действий - "удалять" (в этом случае производится удаление вредоносного объекта) и "Только отчет" - в этом случае лечение блокируется, но в протокол выводится  сообщение об обнаруженном объекте.

 

Переключатель "Эвристическое удаление файлов"

Переключатель "Эвристическое удаление файлов" позволят включить "разумное" удаление вредоносных файлов. Оно состоит в том, что после удаления файла производится анализ системы и удаляются все обнаруженные ссылки на удаленный файл (ключи реестра для автозапуска, зарегистрированные в реестре классы, элементы автозапуска и WinLogon, элементы SPI/LSP и т.п.). В результате удаление файла получается максимально корректным и данный режим рекомендуется включить.

 

Переключатель "Копировать удаляемые файлы в Infected"

Переключатель "Копировать удаляемые файлы в Infected" включает режим создания резервных копий удаляемых файлов в папке Infected. Эта папка автоматически создается в каталоге AVZ. Для просмотра файлов в папке Infected в AVZ предусмотрен специальный просмотрщик, вызываемый из меню "Файл".

 

Переключатель "Копировать подозрительные в  карантин"

Переключатель "Копировать подозрительные в  карантин" позволяет включить режим копирования подозрительных объектов в карантин. Это очень удобно для последующей отправки файлов на анализ, т.к. AVZ сам делает копии подозрительных файлов и снабжает каждый файл информационным ярлыком, в котором указано местоположение файла на диске, дата и причина помещения в карантин. В окне просмотра карантина имеется возможность автоматического создания защищенного паролем архива для его пересылки по электронной почте.

Протокол

Утилита AVZ ведет два протокола:

  • Текстовый протокол AVZ – он размещен в нижней части главного окна программы. Текстовый протокол содержит разнообразную информацию, описывающий ход проверки системы, обнаруженные ошибки, найденный вредоносные файлы и т.п.
  • Протокол обнаруженных вредоносных файлов и подозрительных объектов (вызывается при нажатии кнопки на панели управления справа от текстового протокола). Данный протокол представляет собой таблицы вида «файл» - «описание». В описании файла указывается название вируса или описание причин, по которым файл признан подозрительным. Каждая строка таблицы снабжена переключателем, который позволяет отметить файл. Отмеченные файлы можно вручную скопировать в карантин или удалить.
  •  

    Текстовый протокол может автоматически фильтроваться, управление режимом фильтрации производится при помощи ключа командной строки MiniLog . Кроме того, предусмотрено дублирование выводимой в протокол информации параллельным выводом в текстовый файл - управление этим режимом производится при помощи ключа SpoolLog
     

    Обновление баз

    Обновление баз в AVZ начиная с версии 4.00 может производиться через Интернет. Для выполнения обновления баз необходимо выполнить пункт меню "Файл/Обновление баз". Загрузка ведется с одного из двух сайтов - avz.virusinfo.info или z-oleg.com/secur, выбор сайта производится автоматически случайным образом, но есть возможность задать сайт вручную.

    Обновление баз состоит из трех операций:

    1. Загрузка файл с описанием актуального состояния AV баз,
    2. Сравнение базы локального компьютера с описанием,
    3. В случае обнаружения расхождений (ввиду появления в базе новых файлов, обновления существующих или обнаружения повреждения существующих) производится загрузка необходимых файлов и их установка

    В случае сбоя в ходе загрузки файлов все успешно загруженные файлы остаются в папке Temp и при повторных попытках обновления их повторная загрузка не производится.

     

     

    По умолчанию для обращения в Интернет применяются настройки, заданные в Internet Explorer. Однако в ряде случаев (например, если не для работы с Интернет применяется IE или он не настроен) требуется вручную задать настройку обмена с Интернет. Для этого необходимо нажать кнопку в правой части поля "Настройки", что приведет к выводу окна настройки:

     

    В данном окне можно задать один из четырех режимов работы:

     

    • Использовать настройки Internet Explorer. В этом режиме все настройки обмена берутся из настроек Internet
    • Прямое соединение с Internet. Обмен с Интернет ведется напрямую
    • Через прокси-сервер, не требующий авторизации. Обмен с Интернет ведется через прокси-сервер, в этом режиме обязательно указать имя или IP адрес прокси-сервера в формате имя:порт, например my_proxy:3128 или 192.168.0.1:8080
    • Через прокси-сервер, требующий авторизацию. Отличается от предыдущего режима тем, что прокси сервер требует передачи имени и пароля

     

    Переключатель "запомнить настройки" позволяет сохранить введенные настройки для того, чтобы не выполнять перенастройку при каждом запуске AVZ. Настройки сохраняются в файле AVZ.INI и автоматически загружаются при следующем запуске AVZ.

     

    На заметку: В случае применения AVZ в корпоративной сети возможно обновление баз с любого адреса и с любыми параметрами, заданными администратором. Для этого необходимо применить скрипт, содержащий команду ExecuteAVUpdateEx

     

    Отложенное удаление файла

    является встроенной функцией AVZ и применяется автоматически сканером для удаления известных вредоносных программ. Отложенное удаление позволяет удалять файлы запущенных приложений, загруженных DLL или файлы, открытые с монопольным доступом.

    AVZ выполняет отложенное удаление в два этапа:

    1. Делается попытка удаление файлы обычным способом. Если эта попытка успешна и файл удаляется, то отложенное удаление не применяется

    2. Если удаление файла на шаге 1 было неуспешным, то файл регистрируется для отложенного удаление.

     

    Отложенное удаление файла производится при помощи пункта меню "Файл\Отложенное удаление файла". После выполнения этого пункта меню выводится диалоговое окно для ввода имени файла.

     

     

    Имя файла можно ввести вручную, скопировать через буфер обмена или выбрать в диалоговом окне, которое вызывается при нажатии кнопки в правой части поля для ввода имени файла. После ввода имени файла необходимо нажать ОК для его удаление или кнопку "Отмена" для закрытия окна без удаления файла.

    В случае нажатия кнопки "ОК" выводится диалоговое окно с настройками параметров удаления файла.

     

    Поддерживается два режима удаления:

    1. Обычное удаление указанного файла (производится при выборе опции "Удаление файлов"). Этот режим не рекомендуется применять

    2. Удаление файла и эвристическая чистка ссылок на файл в системе. В этом режиме кроме удаления файла производится автоматическая зачистка автозапуска и ряда ключей реестра, в которых мог быть зарегистрирован удаляемый файл (Winlogon, регистрация CLSID, расширения Internet Explorer и проводника и т.п.). Подобная очистка производится автоматически и делает удаление более корректным.

     

    Если включить переключатель "Копировать удаляемые файлы в карантин", то перед удалением файла в карантине будет создана его копия.

     

    Профили настроек

    AVZ позволяет сохранять настройки в виде именованных профилей. Профили являются текстовыми и содержат параметры, идентичные параметрам командной строки. После сохранения профили можно редактировать вручную.

    Для сохранения текущих настроек в виде профиля необходимо вызвать пункт меню "Файл\Сохранить профиль настроек". В открывшемся диалоговом окне сохранения файла необходимо задать имя файла и местоположение. Расширение файла не играет роли, но по умолчанию у профилей используется расширение prf.

    Загрузка профиля производится при помощи пункта меню  "Файл\Загрузить профиль настроек". При выполнении этого пункта меню выводится диалоговое окно открытия файла, в котором необходимо выбрать нужный профиль.

     

    У AVZ предусмотрена поддержка профиля по умолчанию. Этот профиль автоматически загружается при старте AVZ и должен располагаться в рабочей папке AVZ под именем "avz.prf".
     

    Профиль локализации

    - это INI файл, лежащий в папке на одном уровне с avz.exe с расширением loc. По умолчанию это avz.loc, но если avz.exe переименовывается скажем в gluck.exe, то профиль локализации должен симметрично переименоваться в gluck.loc.

    Профиль содержит секции:

    [MAIN] - главная секция с настройками. На текущий момент содержит единственный параметр Lang=X, аналогичный параметру командной строки (параметр командной строки имеет приоритет над параметром Lang секции Main)

    [X] - таких секций может быть неограниченное множество, X - название локализации - RU для русского, EN - для английского. Содержит параметры:

    Font - имя шрифта, применяемого в данной локализации вместо стандартного MS San Serif

    CharSet - кодовая страница. RUSSIAN_CHARSET соответствует 204, OEM_CHARSET - 255, ANSI_CHARSET - 0, DEFAULT_CHARSET - 1)

    ThreadLocale - если таковой параметр существует, то производится вызов SetThreadLocale, и заданный указанное в нем значение передается данной API функции. Подробности по данному коду см. к примеру http://www.frolov-lib.ru/books/bsp/v27/ch4.htm, для русского языка в частности будет 25

     

    Пример профиля лакализации:

    [Main]
    Lang=RU
    [RU]
    Font=Arial
    CharSet=204

     

    Параметры Font и CharSet следует менять в случае, если при отображении русского языка на нерусскоязычной Windows возникают проблемы с отображением текста.
     

    Карантин и папка Infected

    В утилите AVZ предусмотрено две папки для хранения копий удаляемых вредоносных файлов (папка Infected - карантин для инфицированных файлов) и подозрительных файлов (папка "карантин"), найденных эвристическим анализатором или помещенных в карантин пользователем вручную.

     

    Работа с карантином и папкой Infected абсолютно идентична и производится в специальном окне, вызываемом из меню "Файл". Для работы с карантином необходимо воспользоваться меню "Просмотр карантина", для работы с папкой Infected - "Файл/ Просмотр папки Infected".

     

    Дальнейшую работу для определенности рассмотрим на примере папки "Карантин".

     

    В левой части окна размещается список вложенных папок папки "Карантин". Для упрощения работы папки именуются автоматические - имя папки формируется по маске ГГГГ-ММ-ДД, где ГГГГ - четыре цифры года, ММ - две цифры месяца, ДД - две цифры дня. Вложенные папки создаются автоматически по мере надобности, и такая структура существенно упрощает анализ файлов в карантине - они оказываются сгруппированными по дате занесения в карантин. Текущая папка подсвечивается маркером. Кнопки под списком папок позволяют удалить текущую папку (Кнопка "Удалить папку") и произвести полную очистку карантина (кнопка "Очистить карантин"). Полная очистка карантина приводит к удалению всех файлов и папок, находящихся в карантине.

     

    При выборе папки в левой части окна отображается список находящихся в карантине файлов. Для каждого файла отображается полное исходное имя файла, причина помещения файла в карантин (имя вируса, сообщение о подозрении на вирус, информация о занесении файла вручную), имя файла в карантине и его размер.

     

    Каждый файл можно отметить при помощи переключателя перед его именем. Для быстрой отметки всех файлов можно воспользоваться меню, вызываемым при нажатии правой кнопки над списком (меню содержит пункты, позволяющие отметить все файлы, снять отметку со всех файлов и инвертировать отметку).

     

    Над списком файлов располагается панель инструментов с кнопками, позволяющими выполнять операции над отмеченными файлами. Нажатие кнопки "Удалить отмеченные файлы" позволяет избирательно удалить один или несколько отмеченных файлов, что полезно для чистки карантина. Кнопка "Архивировать отмеченные файлы" позволяет создать архив, в который помещаются отмеченные файлы. Архив по формату полностью совместим с ZIP архивом и автоматически защищается паролем "virus". Пароль полезен для отправки файлов на анализ, т.к. незащищенные паролем файлы могут быть остановлены почтовым антивирусом. Архивация выполняется встроенным в AVZ архиватором (для работы этой функции устанавливать и настраивать архиваторы типа WinZip не требуется). Если при создании архива указывается имя существующего файла zip, то файлы дописываются к существующему архиву. Таким образом, если возникает необходимость поместить в архив несколько файлов из разных папок карантина, то эту задачу можно решить, указывая в диалоге "Поместить в архив" один и тот же архивный файл.

     

    Файлы в карантине (и соответственно в архиве) переименовываются - имена файлов формируются как avzNNNN.dta (где NNNNN - порядковый номер файла в папке). Для каждого файла avzNNNN.dta создается avzNNNN.ini, содержащий описание файла (исходное имя и местоположение файла в системе, дата и время помещения в карантин, причины карантина и размер файла).

     

    Кнопка "Добавить по списку" вызывает диалоговое окно карантина файлов по списку.

    Кнопка "Автодобавление" вызывает диалоговое окно системы автоматического карантина файлов.


     

    Автокарантин

    - это встроенное средство AVZ, позволяющее автоматически поместить в карантин все файлы, которые AVZ не опознает как компоненты системы при помощи каталога безопасности Microsoft или как безопасные объекты при помощи базы безопасных объектов. Автоматический карантин очень удобен для оперативного сбора файлов на исследуемом компьютере для последующего изучения или проверки несколькими антивирусами в стационарных условиях.

    Автокарантин вызывается из меню "Файл\Автокарантин" или при нажатии кнопку "Автодобавление" в окне просмотра содержимого карантина

     

    Диалоговое окно системы автоматического копирования в карантин

     

    Переключатели в диалоговом окне автоматического карантина позволяют указать, файлы каких категорий необходимо поместить в карантин. По умолчанию отмечены все категории.

    Для категории "Службы и драйвера" предусмотрена дополнительная настройка - по умолчанию в карантин копируются только активные службы и драйверы. Однако при помощи выпадающего списка можно выбрать другой режим - "все службы и драйверы".

    Копирование в карантин начинается при нажатии кнопки "Пуск" и может продолжаться достаточно продолжительное время (в зависимости от конкретной конфигурации, наличия антивирусного монитора и мощности компьютера автокарантин работает от 5-10 секунд до 2-3 минут). Процесс анализа отображается прогресс-индикатором.

    Нажатие кнопки "Закрыть" закрывает окно автоматического копирования в карантин.
     

    Добавление в карантин по списку

    Сервис "Добавление в карантин по списку" удобен для массового добавления файлов в карантин по заранее известному списку. Для вызова диалогового окна карантина по списку можно применить меню "Файл\Добавление в карантин по списку" или нажать кнопку "Добавить по списку" в окне карантина.

     

    Список файлов необходимо внести в поле "Список файлов", в одной строке должно быть по одному имени файла. В именах файлов допускается указание символов маски "*" и "?". После заполнения списка файлов необходимо нажать кнопку "Пуск" для выполнения карантина. В поле "Протокол" при этом формируется протокол выполнения карантина файлов.
     

    Встроенные средства поиска

    Поиск данных в реестре

    В окне системы поиска в реестре размещается строка с образцом для поиска. В этой строке необходимо ввести образец для поиска, например имя DLL файла или фрагмент URL, установившегося в качестве домашней страницы.

     

    При нажатии кнопки "Пуск" производится запуск процесса поиска (сам процесс может длиться несколько минут - скорость поиска зависит от производительности компьютера, количества ключей в реестре и настроек программы). Кнопка "Стоп" позволяет прервать процесс поиска.

     

    Закладка "Протокол"

    Закладка "Протокол" содержит протокол работы программы. В протоколе содержатся найденные ключи, служебная информация, информация об удаленных ключах. Протокол может быть скопирован через буфер обмена для размещения в конференции или отправки по электронной почте. Кроме того, можно сохранить протокол в текстовый файл (меню "Файл/Сохранить протокол").

     

    Закладка "Найденные ключи"

    Закладка "Найденные ключи" содержит таблицу с отсортированным по имени ключа списком всех найденных ключей (в таблице три столбца - "ключ", "параметр" и "значение"). 

    Каждая строка таблицы содержит переключатель (checkbox), который позволяет отметить строку.

     

    Под таблицей размещены две кнопки:

    • "Создать reg файл с отмеченными ключами". При нажатии на эту кнопку создается стандартный  reg файл, в который экспортируются отмеченные ключи реестра. Данная функция полезна для  создания резервных копий перед удалением ключей. Важным моментом является то, что в файл экспортируются только отмеченные ключи (если отмеченный ключ имеет параметры или вложенный ключи, то все они не будут экспортированы). Для полного экспорта одного или нескольких ключей  следует воспользоваться программой Regеdit;
    • "Удалить отмеченные ключи". Удаляет отмеченные ключи (или значения ключей). При удалении ключей следует соблюдать большую осторожность, т.к. повреждение реестра может привести к краху системы. Поэтому если Вы не уверены в назначении удаляемых ключей, то Вам необходимо обязательно проконсультироваться со специалистами;

    При нажатии над таблицей правой кнопки мыши выводится всплывающее меню, позволяющее отметить все строки, снять пометку со всех строк и инвертировать отметку.

     

    Закладка "Параметры"

    Данная закладка содержит настройки поиска и настройки программы.

    • Группа параметров "Искать в ключах" позволяет указать, в ключах каких ветвей реестра необходимо производить поиск.
    • Группа параметров "Просматривать при поиске" позволяет настроить область поиска. По умолчанию поиск ведется в именах и значениях параметров


     

    Поиск файлов на диске

    Для поиска файлов на диске в AVZ встроена специальная сервисная функция, вызываемая из меню "Сервис / Поиск файлов на диске". Поиск файлов средствами AVZ имеет ряд преимуществ над системным поиском по ряду причин:

    • Система поиска файлов AVZ защищена встроенной в AVZ системой противодействия RootKit - это с сущности основная причина, по которой в AVZ встроена система поиска файлов. Маскировка процессов в памяти и файлов на диске присуща многим современным троянским программам, производится эта маскировка как правило перехватом API. В результате системные средства поиска позволят обнаружить на диске маскируемые файлы(и соответственно не позволят скопировать их для отправки на анализ).
    • Система поиска файлов связана с карантином AVZ - любой из найденных файлов может быть скопирован в карантин;
    • Поиск производится независимо от расширения файла, его местоположения и атрибутов - системные средства поиска часто при поиске показывают не все файлы (это особенно важно для системных папок типа Downloaded Program Files)

     

     

    Для выполнения поиска необходимо отметить диски (или папки) в древовидном списке дисков и папок "Область поиска". Меню, вызываемое по правой кнопке мыши над проводником "Область поиска", позволяет быстро отметить жесткие диски, дисководы и CDROM. После задания области поиска необходимо указать имя файла или маску. Можно указать несколько имен файлов или несколько масок, перечисляя их через пробел, запятую или точку с запятой. Можно сочетать имена файлов и маски.

    Примеры:

    *.* - поиск всех файлов

    *.exe - поиск файлов с расширением exe

    dialer.exe - поиск файла с конкретным именем "dialer.exe"

    dialer.exe, *.dll, trojan*.sys - поиск файлов с именем dialer.exe или файлов с любым именем и расширением DLL или файлов с именем Trojan<любые символы>.sys

    *.exe, *.dll, *.sys, *.ocx - поиск файлов с указанными расширениями

     

    В маске можно использовать стандартные символы * (на месте * могут встречаться любые символы в любом количестве) и ? (любой символ в заданной позиции).

    Пример:

    Trojan.ex? - этой маске к примеру могут соответствовать файлы Trojan.exe и Trojan.ex_

    Маска является обязательной (для поиска файлов с любым именем необходимо указать маску *.*).

     

    Кроме маски можно задать ряд условий поиска - размер, дату создания, дату модификации. Для включения условия необходимо установить переключатель, выбрать тип условия их списка и заполнить параметры в полях. Если параметр заполнен неправильно, то он подчеркивается красной волнистой линией и поиск блокируется. При наведении курсора мыши на некорректное поле выводится всплывающая подсказка, поясняющая причину ошибки.

     

    Особого внимания заслуживает опция фильтра "Исключить файлы, известные AVZ как системные и безопасные". Включение данного переключателя приводит к тому, что каждый файл, соответствующий всем прочим условиям поиска проверяется по базе известных AVZ безопасных и системных файлов. Опознанные по базе безопасные файлы исключаются из результатов поиска. Это, как правило, очень существенно сокращает количество найденных файлов. Данный режим фильтрации очень удобен для поиска вирусов и SpyWare - можно задать маску поиска "*.exe *.dll", указать папку Windows, задать диапазон дат (как правило имеет смысл искать файлы, созданные за последний месяц от момента появлении проблем с ПК) и  включить опцию "Исключить файлы, известные AVZ как системные и безопасные"

     

    Поиск запускается при нажатии кнопки "Пуск". Для остановки поиска применяется кнопка "Стоп". Результаты поиска выводятся в протокол (закладка "Протокол") и в таблицу (Закладка "Найденные файлы"). В таблице отображаются основные параметры найденных файлов, любой из файлов можно отметить при помощи переключателя перед его именем. Отмеченные файлы можно скопировать в карантин или удалить (эти операции выполняются при нажатии соответствующих кнопок под списком).

    На заметку:

    У таблицы найденных файлов есть меню, вызываемое по правой кнопке мыши. Данное меню позволяет отметить все найденные файлы, снять и инвертировать отметку.

     

    Поиск Cookie по данным

    Для оперативного анализа содержимого хранимых на компьютере Cookies можно применить "Поиск Cookie по данным". Этот анализатор изучает Cookie, которые сохраняются браузерами Internet Explorer и Mozilla Firefox. Окно системы поиска вызывается из меню «Сервис\Поиск cookies». Данный анализатор позволяет пользователю узнать, какие сайты сохраняют в cookies критичную для него информацию -  в последствии для этих сайтов можно создать правила, блокирующие прием от них cookies.

    Особенностью системы поиска является то, что поиск может вестись одновременно по нескольким текстовым образцам (при этом образцы разделяются пробелом или «;»). Поиск ведется с учетом того, что данные в cookie могу быть представлены в формате Base64, UUE, url-encoding или quoted-printable. Анализируемые форматы можно выбрать на закладке «Настройки», по умолчанию ведется попытка поиска во всех форматах.

     

    Для проведения анализа в строке «Образец» необходимо ввести фрагменты e-mail адресов пользователя, применяемые для регистрации на Интернет сайтах имена и пароли, фрагменты номеров кредитных карт или иную информацию, которая вводилась в WEB формы и утечка которой, по мнению пользователя, представляет для него угрозу. При указании образцов поиска следует учитывать, что по сути ведется поиск вхождения указанных образцов в данных cookie, поэтому часто для эффективного поиска достаточно указать уникальные фрагменты, например "newvirus" вместо «newvirus@z-oleg.com» или последние 5 цифр номера кредитной карты вместо ее полного номера.

    После задания образцов необходимо нажать кнопку «Пуск» для запуска поиска. Поиск может занять некоторое время, как правило, не более 10-20 секунд. После завершения поиска формируется протокол, в котором указано, в каких cookie встречались указанные образцы.

    На закладке «Найденные Cookies» можно просмотреть список найденных Cookies, при нажатии кнопки «Просмотреть Cookie» на экран выводится содержимое текущего Cookie для детального анализа.

    На закладке "Настройки" задаются настройки поиска. Настройки позволяют указать типы браузеров, для которых необходимо анализировать Cookie и типы кодировок, которые необходимо применять в ходе анализа содержимого Cookie.
     

    Встроенные утилиты

    Диспетчер процессов

    Для поиска шпионского ПО и троянских программ вручную в программу AVZ встроен собственный диспетчер процессов.

    Вызов диспетчера производится из меню "Сервис \ Диспетчер процессов".

     

    Диспетчер процессов позволяет:

    • отображать список запущенных процессов (список процессов строится различными способами, для Windows NT предусмотрено построение списка процессов штатными средствами, при помощи Native API, при помощи подсистемы поиска скрытых процессов);
    • отображать список библиотек для каждого из процессов

     

    Для всех объектов диспетчер процессов может вычислять контрольные суммы MD5 и собирает дополнительную информацию.

     

    Другой особенностью диспетчера процессов AVZ является возможность использования в его работе системы противодействия RootKit. В результате диспетчер процессов AVZ, как правило, в состоянии обнаружить и остановить процессы, маскируемые RootKit. Кроме того, если в систему установлен драйвер AVZ PM, до собранная им информация используется диспетчером процессов, что в частности позволяет удалять маскирующиеся процессы из KernelMode.

     

    Закладка "Процессы"

    Закладка "Процессы" содержит список процессов (верхняя таблица) и информацию о текущем процессе (на закладках  под таблицей процессов). Таблица процессов обновляется при нажатии кнопки "Обновить".

    Кнопка "Удалить процесс" позволяет завершить работу текущего процесса.

    Кнопка "Копировать в карантин" позволяет отправить копию исполняемого файла текущего процесса в папку "Карантин". Данная кнопка доступна только в случае, если файл не опознан по базе безопасных

     

    Кнопка "Копировать в карантин все процессы, не опознанные как безопасные" позволяет отправить копию исполняемых файлов всех процессов, не опознанных по базе безопасных в папку "Карантин".

     

    Кнопка "Сохранить протокол".

    Производит формирование HTML протокола, который сохраняется на диск в указанное пользователем место (для сохранения протокола выводится диалог сохранения файла стандартного вида). После сохранения протокола выдается предложение открыть его (открытие производится применяемым по умолчанию браузером).

     

    Закладка "Параметры"

    На закладке "Параметры" размещены настройки диспетчера процессов:

    • Переключатель "Вычислять контрольные суммы MD5 для файлов" - включение этого переключателя активирует расчет контрольных сумм для каждого файла. Этот процесс требует больших затрат ресурсов и обновление списка происходит медленнее;
    Переключатель "Проверять файлы по базе безопасных файлов" - включение этого переключателя активирует проверку исполняемых файлов и DLL по базам безопасных объектов, идущим в составе AVZ. Файлы, опознанные как безопасные, выделяются при просмотре зеленым цветом. Данный режим полезен для поиска неопознанных 

    Контекстное меню списка DLL

    • Копировать в карантин. Выполняет копирование текущего файла в карантин (безопасные файлы в карантин не копируются)
    • Поиск в Google - открывает браузер по умолчанию и передает ему строку URL, выполняющего поиск в Google по имени файла
    • Поиск в Yandex - открывает браузер по умолчанию и передает ему строку URL, выполняющего поиск в Yandex по имени файла
    • Поиск в Rambler - открывает браузер по умолчанию и передает ему строку URL, выполняющего поиск в Rambler по имени файла
    • Поиск в реестре по имени файла - вызывает окно поиска в реестре, в образце поиска которого уже задано имя текущего файла
    • Поиск в реестре по имени файла - вызывает окно поиска в реестре, в образце поиска которого уже задано полное имя текущего файла
    • Принудительно выгрузить DLL - выполняет принудительную выгрузку указанного модуля

     

    На заметку

    Принудительная выгрузка модуля в большинстве случаев приведет к неустранимой ошибке в приложении, из адресного пространства которого выгружена DLL. Собственно, ошибка в этом приложении любом случае произойдет при первой же попытке приложения вызвать функцию выгруженной таким образом DLL.

     

    Диспетчер служб и драйверов

    Для поиска шпионского ПО и троянских программ вручную в программу AVZ встроен собственный диспетчер служб и драйверов (он работает только под NT и последующими системами на ее основе - Windows 2000, XP).

     

    Диспетчер служб и драйверов позволяет:

    • Отображать список служб и драйверов с фильтрацией по типу (служба, драйвер) и статусу (запущен, не запущен);
    • Останавливать и запускать службы (или загружать/выгружать драйвера
    • Копировать файлы в карантин
    • Формировать HTML протоколы

    Особенностью диспетчера служб и драйверов AVZ является возможность использования в его работы системы противодействия  RootKit.

     

    Вызов диспетчера производится из меню "Сервис\Диспетчер служб и драйверов"

     

    Фильтр

    Фильтр позволяет управлять информацией, отображаемой на закладках с данными. Тип задает тип записей (Служба, Драйвер, Все), Поле статус - статус службы/драйвера в текущий момент (Активный, Не активный, Все). При включении закладки "Сервисы (по анализу реестра)" фильтрация по статусу становится невозможной - тип фильтра автоматически устанавливается в положение "Все".

    Закладки

    В окне диспетчера служб и драйвером предусмотрено три закладки:

    "Сервисы (по данным API)" - отображает службы и (или) драйверы по данным, возвращаемым API

    "Сервисы (по анализу реестра)" - отображает службы и (или) драйверы по данным, зарегистрированные в реестре

    "Параметры" - параметры диспетчера. Содержит единственный переключатель, управляющий проверкой файлов по базе безопасных.

     

    Кнопки панели управления
    • Кнопка "Обновить". Обновляет отображаемый список. Обновление производится автоматически при смене параметров фильтрации
    • Кнопка "Сохранить протокол". Производит формирование HTML протокола, который сохраняется на диск в указанное пользователем место (для сохранения протокола выводится диалог сохранения файла стандартного вида). После сохранения протокола выдается предложение открыть его (открытие производится применяемым по умолчанию браузером).
    • "Копировать в карантин" - копирует текущий файл в карантин. Кнопка доступна только для службы и драйверов, не опознанных по базе безопасных и каталогу Microsoft
    • "Копировать в карантин все файлы, не опознанные по как безопасные" - копирует в карантин все службы/драйверы, не опознанные по базе безопасных и каталогу Microsoft
    • "Запустить службу (загрузить драйвер)" - производит попытку запуска службы или загрузки драйвера
    • "Остановить службы (выгрузить драйвер)"- производит попытку остановки службы или выгрузки драйвера
    • "Удалить текущую службу\драйвер" - производит удаление текущей службы или драйвера (файл с диска при этом не удаляется).


     

    Модули пространства ядра

    Менеджер модулей пространства ядра предназначен для отображения модулей, загруженных в пространство ядра. Запуск менеджера производится из меню "Сервис/Модули пространства ядра".

     

    Менеджер модулей пространства ядра позволяет:

    • Просматривать список модулей с сортировкой по имени, базовому адресу или размеру модуля
    • Копировать в карантин модули, не опознанные по базе безопасных AVZ
    • Выполнять дампирование любого модуля для последующего изучения
    • Формировать HTML протоколы 

     

    Менеджер модулей пространства ядра связан с автокарантином, исследованием системы и системой AVZPM
     

    Менеджер Winsock SPI (LSP, NSP, TSP)

    Менеджер SPI/LSP позволяет просматривать списки поставщиков службы имен (NSP) и транспорта (TSP). Каждый поставщик может быть удален пользователем вручную. Подробно про SPI/LSP/TSP/NSP провайдеры можно почитать в отдельно разделе - Local Service Provider (LSP/SPI)

    В окне менеджера Winsock SPI размещено три закладки:

    • Поставщики пространства имен (NSP - Name Service Provider). Отображает список библиотек, зарегистрированных в качестве NPS поставщиков. Для каждой библиотеки отображается название поставщика, статус и полное имя исполняемого файла. Файла могут быть скопированы в карантин, включены или отключены или удалены при помощи кнопок на панели под списком поставщиков
    • Поставщики транспортных протоколов. Данная закладка аналогична предыдущей, но для  поставщиков транспортных протоколов предусмотрена только операция удаления
    • Поиск ошибок. Данная закладка содержит список ошибок в настройках LSP, обнаруженных в ходе их изучения. На данной закладке предусмотрена кнопка "Автоматическое исправление найденных ошибок", которая запускает процесс автоматического устранения ошибок в настройках. 

     

    На заметку

    Поиск ошибок может некорректно работать в случае запуска AVZ из терминальной сессии

    На заметку

    Автоматическое исправление ошибок доступно из диалогового окна "Восстановление системы" и из скриптового языка (см. команду AutoFixSPI). Начиная с версии 4.26 перед исправлением ошибок AVZ автоматически создает резервную копию настроек в папке BackUp. Резервная копия является стандартным REG файлом.
     

    Открытые порты TCP/UDP

    В AVZ встроен менеджер, позволяющий просматривать:

    • Открытые порты TCP
    • Активные соединения по протоколу TCP/IP
    • Открытые порты UDP 

     

    Для каждого открытого порта (или соединения) выводится имя исполняемого файла, но эта возможность действует только в Windows XP и Windows 2003. Кроме того, у AVZ имеется особая база с описанием назначения наиболее распространенных портов и степени их опасности (опасными считаются порты, используемые сетевыми вирусами, троянскими и Backdoor программами). Открытый порт, который используется опасной программой, выделяется красным цветом и в описании указано, какие вредоносные программы могут использовать данный порт.

     

    Кроме возможности просмотра списка открытых портов в AVZ встроена автоматическая проверка, выполняемая в ходе сканирования системы. В ходе данной проверки производится построение списка открытых портов TCP и UDP, после чего AVZ сопоставляет этот список с базой портов, применяемых троянскими программами и сетевыми вирусами. При обнаружении совпадений в протокол выводятся предупреждения с указанием номера порта, его описания и имени программы (имя программы выводится только в XP, Windows 2003).
     

    Менеджер автозапуска

    Менеджер автозапуска отображает список программ и библиотек, загружаемых в ходе загрузки системы. Менеджер позволяет:

    • Отображать список автозапускаемых программ с указанием метода запуска
    • Временно отключать элементы автозапуска
    • Удалять элементы автозапуска
    • Копировать файлы в карантин
    • Формировать HTML протоколы

    Анализатор менеджера автозапуска подключен к исследованию системы и автокарантину.

     

    AVZ - менеджер автозапуска

    Окно менеджера автозапуска разделено на две части. В левой отображается список категорий автозапуска - папки автозапуска, реестре, Winlogon, MPR Servicies. Для просмотра конкретной группы автозапуска необходимо выбрать ее в древовидном списке категорий.

     

    Менеджер расширений IE

    отображает список подключенных к Internet Explorer модулей расширения. Модули расширения - это BHO и различные панели.

    Менеджер позволяет:

    • Отображать список модулей расширения IE
    • Временно отключать расширения
    • Удалять модули расширения (при этом исполняемый файл не удаляется - удаляется только регистрационная информация в реестре);
    • Копировать файлы в карантин
    • Формировать HTML протоколы

    Анализатор менеджера расширений IE подключен к исследованию системы и автокарантину.


     

    Менеджер расширений проводника

    отображает список подключенных к Explorer модулей расширения. 

    Менеджер позволяет:

    • Отображать список модулей расширения проводника
    • Временно отключать расширения
    • Удалять модули расширения (при этом исполняемый файл не удаляется - удаляется только регистрационная информация в реестре);
    • Копировать файлы в карантин
    • Формировать HTML протоколы

    Анализатор менеджера расширений Explorer подключен к исследованию системы и автокарантину.


     

    Менеджер апплетов

    панели управления отображает список CPL файлов.  CPL файл - это динамическая библиотека, экспортирующая определенные функции для взаимодействия с панелью управления.

    Менеджер позволяет:

    • Отображать апплетов панели управления
    • Временно отключать любой из апплетов
    • Удалять апплеты (при этом удаляется исполняемый CPL файл);
    • Копировать файлы в карантин
    • Формировать HTML протоколы

    Анализатор апплетов панели управления подключен к исследованию системы и автокарантину.


     

    Менеджер расширений системы печати

    отображает список расширений системы печати.  Известно две разновидности расширений - мониторы печати и провайдеры.

    Менеджер расширений системы печати

    Менеджер позволяет:

    • Отображать список модулей расширений системы печати
    • Временно отключать расширения
    • Удалять модули расширения (при этом исполняемый файл не удаляется - удаляется только регистрационная информация в реестре);
    • Копировать файлы в карантин
    • Формировать HTML протоколы

    Анализатор менеджера расширений печати подключен к исследованию системы и автокарантину.


     

    Менеджер планировщика заданий

    отображает задания, поставленные в очередь планировщиком задач или командой AT. Анализ заданий полезен ввиду того, что некоторые SpyWare и троянские программы используют планировщик для своего запуска или для запуска дроппера, который восстанавливает удаленный компоненты SpyWare.

    Менеджер позволяет:

    • Отображать список заданий планировщика;
    • Удалять задания;
    • Копировать файлы в карантин;
    • Формировать HTML протоколы;

    Анализатор менеджера планировщика заданий подключен к исследованию системы и автокарантину.


     

    Менеджер внедренных DLL

    позволяет просмотреть список всех посторонних DLL, внедренных в процесс AVZ. Для каждой DLL выводится дополнительная информация (в частности, определенная нейросетью степень похожести на типовой перехватчик). Цветовая раскраска таблицы стандартна для AVZ - опознанные по базе безопасных библиотеки выделяются зеленым цветом.

    Основание назначение анализатора - поиск причины сбоев в работе программ, вызванных установкой в систему некоторых перехватчиков - он показывает все внедренные DLL, в то время как искатель троянских DLL и кейлоггеров отображает только подозрительные.

     

    Менеджер обладает типовой для остальных менеджеров AVZ функциональностью - карантин отдельного файла или всех неопознанных файлов, сохранение HTML протокола.

     

    Менеджер протоколов и обработчиков

    отображает список модулей, зарегистрированных в системе в качестве обработчиков для протоколов (например, AP GZIP Encoding/Decoding Filter) и обработчиков (Handler-s), например ftp: Asychronous Pluggable Protocol Handler или http: Asychronous Pluggable Protocol Handler).

     

     

    Менеджер позволяет:

    • Отображать список модулей, зарегистрированных в качестве обработчиков
    • Временно отключать любой из обработчиков
    • Удалять обработчики (при этом исполняемый файл не удаляется - удаляется только регистрационная информация в реестре);
    • Копировать файлы в карантин (возможно автоматическое копирование всех неопознанных файлов)
    • Формировать HTML протоколы

    Анализатор протоколов и обработчиков подключен к исследованию системы и автокарантину.


     

    Менеджер Active Setup

    отображает список приложений, зарегистрированных в качестве Active Setup инсталляций. Известен ряд вредоносных программ, применяющих регистрацию в Active Setup для скрытного автозапуска. 

    Менеджер Active Setup

    Менеджер позволяет:

    • Отображать список приложений, зарегистрированных в Active Setup
    • Временно отключать любое из приложений
    • Удалять записи Active Setup  (при этом исполняемый файл не удаляется - удаляется только регистрационная информация в реестре);
    • Копировать файлы в карантин (возможно автоматическое копирование всех неопознанных файлов);
    • Формировать HTML протоколы

    Анализатор Active Setup подключен к исследованию системы и автокарантину.

    Менеджер файла Hosts

    позволяет просмотреть содержимое файла Hosts с возможностью удаления любой из его строк. Кроме удаления строк файла Hosts предусмотрена кнопка очистки данного файла, которая оставляет в файле только одну строку "127.0.0.1 localhost", что полезно для оперативной чистки данного файла после его повреждения троянскими программами.

    Анализатор менеджера файла Hosts подключен к исследованию системы
     

    Общие ресурсы и сетевые сеансы

    Данный менеджер выполняет функции, аналогичные штатной системной утилите "Инспектор сети". В окне менеджера имеется три закладки - "Общие ресурсы", "Сетевые сеансы" и "Открытые файлы". Информация на данных закладках обновляется автоматически с интервалом 2 секунды.
     

    Функции анализа и восстановления

    Исследование системы

    Исследование системы - это функция, позволяющая изучить систему и сформировать HTML протокол, позволяющий обнаружить подозрительные файлы и программы. Исследование системы может применяться для  оперативного изучения системы и (или) последующей отправки протокола для анализа в конференции вирусологов.

    Запуск исследования системы производится из меню "Файл / Исследование системы", при выполнении которого выводится диалоговое окно исследования системы.

     

     

    Переключатели позволяют указать, какую информацию необходимо собрать в ходе исследования системы. По умолчанию все переключатели включены и сбор информации идет по максимуму.

    На исследование системы оказывает влияние антируткит (поскольку нейтрализация перехватов может привести к отображению маскируемой руткитом информации) и наличие в системе драйвера расширенного мониторинга системы AVZPM.

     

    Группа  параметров "Собираемая информация"

     

    Переключатель "Запущенные процессы"

    Если он включен, то в отчет исследования системы выводится таблица со списком процессов.

     

    Переключатель "Библиотеки процессов"

    Данный переключатель доступен, если включен переключатель "Запущенные процессы". Если он включен, то в отчет исследования системы выводится таблица со списком библиотек, используемых запущенными процессами. Поддерживается два вида списка - список DLL, совмещенный со списком процессов (после каждого процесса перечисляются его DLL) и список DLL в виде отдельной таблицы без повторов. Последний вариант выбран по умолчанию, т.к. список DLL без повторов гораздо компактнее (в этом списке есть столбец со списком PID процессов, использующих DLL)

     

    Переключатель "Службы и драйверы"

    Если он включен, то в отчет исследования системы выводится таблица со списком служб и драйверов изучаемого компьютера. Данная функция  не работает на Windows 9x

     

    Переключатель "Модули пространства ядра"

    Если он включен, то в отчет исследования системы выводится таблица со списком модулей пространства ядра. Данная функция  не работает на Windows 9x

     

    Переключатель "Автозапуск"

    Если он включен, то в отчет исследования системы выводится таблица со списком автозапускаемых программ. Для каждого элемента автозапуска в примечаниях указано, каким образом он стартует.

     

    Переключатель "Настройки SPI/LSP"

    Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения SPI (NSP и TSP провайдеры)

     

    Переключатель "Порты TCP/UDP"

    Если он включен, то в отчет исследования системы выводится таблица открытых портов TCP/UDP (на Windows XP и 2003 выводится информация о прослушивающем порт приложении)

     

    Переключатель "Модули расширения IE"

    Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения Internet Explorer (BHO, панели и т.п.)

     

    Переключатель "Модули расширения проводника"

    Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения проводника (explorer.exe). Модули расширения проводника регистрируются в системном реестре и известны вредоносные программы, регистрирующие себя как расширение проводника для обеспечения своего скрытного запуска

     

    Переключатель "Модули расширения системы печати"

    Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения ссистемы печати - мониторы печати, провайдеры печати. Модуль расширения является обычной библиотекой DLL и известен ряд троянских программ, применяющих такой метод автозапуска.

     

    Группа  параметров "Параметры"

     

    Переключатель "Исключить из протокола файлы, опознанные как безопасные"

    Если он включен, то из отчета исследования системы исключаются все файлы, опознанные по базе безопасных. В большинстве случаев включение данной опции приводит к существенному сокращению размера протокола и упрощению его анализа.

     

    Переключатель "Добавить протокол последнего сканирования AVZ"

    Если он включен, то к протоколу исследования системы добавляется текущий протокол AVZ, сформированный в ходе последнего сканирования. Включение данной опции удобно в случае необходимости отправки протокола вместе с результатами исследования системы.

     

    Переключатель "Создать ZIP архив с протоколом исследования системы"

    Если данный переключатель включен, то помимо протоколов исследования автоматически создается архив формата ZIP, содержащий протокол исследования. Эта опция удобна в случае, если протокол необходимо отправить по почте или поместить в конференцию.

     

    Переключатель "Добавить в протокол интерактивные элементы для генерации скриптов"

    Включение данного переключателя приводит к добавлению в протокол интерактивных элементов, позволяющих полуавтоматически создавать скрипты. Следует учесть, что при открытии такого протокола в IE может  выводиться сообщение системы безопасности о том, что документ содержит активные элементы. Если не разрешить их использование, то протокол откроется, но интерактивные функции в нем будут недоступны.

     

    Переключатель "Создать XML протокол для автоматического анализа"

    Включение данного переключателя приводит к созданию XML файла, дублирующего HTML протокол. XML файл предназначен для использования в автоматических анализаторах протоколов.

     

    Кнопка "Пуск"

    Кнопка пуск запускает исследование системы. Перед началом исследования запрашивается имя файла для сохранения протокола. После выбора имени файла проводится исследование системы, формируется файл протокола и выводится запрос на просмотр протокола. В случае согласия пользователя протокол открывается в браузере, применяемом в системе по умолчанию.

     

    Кнопка "Закрыть"

    Закрывает окно исследования

    На заметку:

    Следует учитывать, что наличие в системе антивирусного монитора может замедлить исследование и оно может длиться от 1-2 до 5 минут. Типовое время формирования составляет не более 30 сек. В процессе исследования в нижней части окна выводится прогресс-индикатор.

    На заметку:

    Перед запуском исследования системы рекомендуется:

    1. Закрыть все неиспользуемые программы

    2. Запустить браузер - это позволит анализатору изучить загруженные в его адресное пространство библиотеки.

    3. Во время исследования системы не рекомендуется запускать и завершать программы, как-то работать с системой - это может повлиять на результаты анализа.


     

    Восстановление системы

    Восстановление системы - это особая функция AVZ,  которая позволяет восстановить ряд системных настроек, поврежденных вредоносными программами.

    Микропрограммы восстановления системы хранятся в антивирусной базе и обновляются по мере необходимости.

     

    Восстановление системы

     

     

    В настоящее время в базе есть следующие микропрограммы:

     

    1.Восстановление параметров запуска .exe, .com, .pif файлов

    Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.

    Показания к применению: после удаления вируса перестают запускаться программы.

     

    2.Сброс настроек префиксов протоколов Internet Explorer на стандартные

    Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer

    Показания к применению: при вводе адреса типа www.yandex.ru идет его подмена на что-то вида www.seque.com/abcd.php?url=www.yandex.ru

     

    3.Восстановление стартовой страницы Internet Explorer

    Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer

    Показания к применению: подмена стартовой страницы

     

    4.Сброс настроек поиска Internet Explorer на стандартные

    Данная микропрограмма восстанавливает настройки поиска в Internet Explorer

    Показания к применению: При нажатии кнопки "Поиск" в IE идет обращение к какому-то постороннему сайту

     

    5.Восстановление настроек рабочего стола

    Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesctop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.

    Показания к применению: Исчезли закладки настройки рабочего стола в окне "Свойства:экран", на рабочем столе отображаются посторонние надписи или рисунки

     

    6.Удаление всех Policies (ограничений) текущего пользователя

    Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.

    Показания к применению: Заблокированы функции проводника или иные функции системы.

     

    7.Удаление сообщения, выводимого в ходе WinLogon

    Windows NT и последующие системы в линейке NT (2000, XP) позволяют установить сообщение, отображаемое в ходе автозагрузки. Этим пользуется ряд вредоносных программ, причем уничтожение вредоносной программы не приводит к уничтожению этого сообщения.

    Показания к применению: В ходе загрузки системы вводится постороннее сообщение.

     

    8.Восстановление настроек проводника

    Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).

    Показания к применению: Изменены настройки проводника

     

    9.Удаление отладчиков системных процессов

    Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ

    Показания к применению: AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол.

     

    10.Восстановление настроек загрузки в SafeMode

    Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.

    Показания к применению: Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме.

     

    11.Разблокировка диспетчера задач

    Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.

    Показания к применению: Блокировка диспетчера задач, при попытке вызова диспетчера задач выводится сообщение "Диспетчер задач заблокирован администратором".

     

    12.Очистка списка игнорирования утилиты HijackThis

    Утилита HijackThis хранит в реестре ряд своих настроек, в частности - список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis

    Показания к применению: Подозрения на то, что утилита HijackThis отображает не всю информацию о системе.

     

    13. Очистка файла Hosts

    Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".

    Показания к применению: Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы - блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ.

     

    14. Автоматическое исправление настроек SPl/LSP

    Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер.  Обратите внимание ! Данную микропрограмму нельзя запускать из терминальной сессии

    Показания к применению: После удаления вредоносной программы пропал доступ в Интернет.

     

    15. Сброс настроек SPI/LSP и TCP/IP (XP+)

    Данная микропрограмма работает только в XP, Windows 2003 и Vista. Ее принцип работы основан на сбросе и пересоздании настроек SPI/LSP и TCP/IP при помощи штатной утилиты netsh, входящей в состав Windows. Подробно про сброс настроек можно прочитать в базе знаний Microsoft - http://support.microsoft.com/kb/299357 Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !

    Показания к применению: После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы "14. Автоматическое исправление настроек SPl/LSP" не дает результата.

     

    16. Восстановление ключа запуска Explorer

    Восстанавливает системные ключи реестра, отвечающие за запуск проводника.

    Показания к применению: В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен.

     

    17. Разблокировка редактора реестра

    Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.

    Показания к применению: Невозможно запустить редактор реестра, при попытке выводится сообщение о том, что его запуск  заблокирован администратором.

     

    18. Полное пересоздание настроек SPI

    Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.

    Показания к применению: Тяжелые повреждения настроек SPI, неустранимые скриптами 14 и 15. Применять только в случае  необходимости !

     

    19. Очистить базу MountPoints

    Выполняет очистку базы MountPoints и MountPoints2 в реестре. Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски

    Для выполнения восстановления необходимо отметить один или несколько пунктов и нажать кнопку "Выполнить отмеченные операции". Нажатие кнопки "ОК" закрывает окно.

    На заметку:

    Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки - необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы

    На заметку:

    Для устранения следов большинства Hijacker необходимо выполнить три микропрограммы - "Сброс настроек поиска Internet Explorer на стандартные", "Восстановление стартовой страницы Internet Explorer", "Сброс настроек префиксов протоколов Internet Explorer на стандартные"

    На заметку:

    Любую из микропрограмм можно выполнять несколько раз подряд без ущерба для системы. Исключения - "5.Восстановление настроек рабочего стола" (работа этой микропрограммы сбросит все настройки рабочего стола  и придется заново выбирать раскраску рабочего стола и обои) и "10. Восстановление настроек загрузки в SafeMode" (данная микропрограмма пересоздает ключи реестра, отвечающие за загрузку в безопасном режиме).


     

    Стандартные скрипты

    Стандартные скрипты предназначены для автоматизации основных операций, выполняемых при помощи AVZ. Они хранятся в базе AVZ и обновляются при помощи автоматического обновления. Вызов окна "Стандартные скрипты" производится из меню "Файл/Стандартные скрипты".

    Для выполнения одного или нескольких стандартных скриптов необходимо отметить их в списке и затем нажать кнопку "Выполнить отмеченные скрипты". Окно можно закрыть только после завершения последнего из выбранных скриптов - это сделано специально для блокировки органов управления AVZ на время выполнения стандартных скриптов.

    Для аварийной остановки процесса выполнения скриптов необходимо нажать кнопку "Остановить выполнение". Следует учитывать, что остановка происходит не мгновенно - с момент нажатия кнопки до остановки может пройти несколько секунд. Это нормальное явление, т.к. остановка некоторых операций в ходе их выполнения невозможна.

    В настоящий момент поддерживаются следующие операции:

    1. Поиск и нейтрализации RootKit UserMode и KernelMode. Выполняет поиск руткитов с нейтрализацией всех обнаруженных перехватов

    2. Скрипт сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера (без лечения) и исследования системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами

    3. Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера с лечением и выполняет исследование системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами

    4. Скрипт сбора неопознанных и подозрительных файлов. Выполняет две операции - сканирование системы с карантином всех заподозренных файлов + автоматический карантин с максимальными настройками. В результате в карантин попадают файлы, которые заподозрены AVZ или не опознаны по базе безопасных объектов.

    5. Обновление баз с автоматической настройкой. Производит обновление баз, используя различные настройки. Данная операция полезна в случае, если обновление стандартным способом не проходит и выводится сообщение об ошибке.

    6. Удаление всех драйверов и ключей реестра AVZ. Производит автоматическое удаление всех драйверов и ключей реестра, которые могли быть созданы в процессе работы AVZ. В обычной ситуации это не требуется, так как AVZ автоматически удаляет ключи и файлы, установленные в систему. Является аналогом деинсталляции и рекомендуется к применению на ПК после завершения использования AVZ

     

    Номера скриптов уникальны и не меняются при дополнении и обновлении базы. Стандартные скрипты могут вызываться из скриптов пользователя при помощи функции ExecuteStdScr
     

    Резервное копирование

    Начиная с версии 4.16 в AVZ поддерживается три вида три вида копирования:

    • Автоматического резервное копирование. Выполняется AVZ автоматически по мере необходимости при выполнении некоторых операций, в частности модификации настроек LSP, настроек запуска файлов, политик безопасности, настроек IE и проводника. Эти копии помещаются в папку Backup\p-MM-YYYY
    • Ручное резервное копирование. Вызывается из меню "Файл\Резервное копирование", результаты так-же сохраняются в папке Backup\p-MM-YYYY
    • Резервное копирование  под управлением скрипта. В этом случае результаты резервного копирования могут сохраняться  в папке Backup\p-MM-YYYY или в любой другой папке по усмотрению разработчика скрипта.

    Мастер резервного копирования вызывается из меню "Файл\Резервное копирование"

     

    Для выполнения резервного копирования следует отметить одну или несколько позиций списка и нажать кнопку "Выполнить резервное копирование". Нажатие кнопки "Остановить выполнение" позволяет аварийно прервать выполнение резервного копирования. Процедуры резервного копирования хранятся в обновляемой базе, поэтому список резервируемых настроек может расширяться. После выполнения резервного копирования рекомендуется сохраниться созданные AVZ файлы в надежном месте.

    Восстановление резервной копии выполняется запуском соответствующего REG файла - после этого система предложить импортировать содержимое REG файла в реестр.
     

    Мастер поиска и устранения проблем

    Мастер поиска и устранения проблем предназначен для автоматического анализа системы, обнаружения устранимых ошибок и аномалий и их устранения. Мастер во многом аналогичен восстановлению системы AVZ, его главное отличие от восстановления состоит в том, что он автоматически ищет проблемы (в восстановлении системы пользователь должен сам принять решение о том, какие функции восстановления задействовать) и производит более точное и гибкое устранение проблем.

    Вызов мастера осуществляется из меню "Файл\Мастер поиска и устранения проблем".

     

    Для начала работы с мастером требуется выбрать категорию проблемы. Поддерживаются следующие категории:

    • Системные проблемы. Это всевозможные ошибки в реестре или ключи, созданные/измененные вредоносными программами для нарушения или ограничения функциональности системы
    • Настройки и твики браузера. Выполняет анализ настроек браузера, ищет опасные настройки (например, разрешение загружать AсtiveX без запроса) или предлагает модифицировать настройки для повышения защищенности браузера
    • Приватность. Позволяет осуществить чистку системы с целью удаления следов работы пользователя (временные файлы, cookies, кеши и журналы браузеров, всевозможные протоколы)
    • Чистка мусора. Данная категория появилась в AVZ начиная с версии 4.32. Назначение - поиск и удаление всевозможного мусора - временных файлов, протоколов, дампов памяти, кешей. Визард поддерживает все современные браузеры - IE, FireFox, Google Chrome, Safari.

     

    После выбора категории следует задать степень опасности проблемы. Анализатор поддерживает три степени опасности - он незначительных проблем до опасных. Степень опасности по сути является порогом срабатывания анализатора

     

    После настройки степени опасности следует нажать кнопку "Пуск" и дождаться завершения процесса анализа (прогресс-индикатор в нижней части окна показывает ход процесса). Найденные проблемы или рекомендуемые операции отображаются в виде списка с возможностью отметки одной или нескольких позиций. Для выполнения процедуры исправления следует отметить один или несколько пунктов в списке и нажать кнопку "Исправить отмеченные проблемы".

     

    Исправление некоторых настроек может негативно сказаться на функционировании системы. На этот случай в мастере поиска и исправления проблем предусмотрена функция записи данных для отката изменений. Для выполнения отката следует выбрать категорию проблемы, после чего перейти на закладку "Отмена изменений". На данной закладке отобразится список отмены - для отмены следует пометить один или несколько пунктов и затем нажать кнопку "Отменить отмеченные изменения".

    На заметку:

    Система отмены изменений действует только на реестр - удаление файлов (например кукизов или кешей браузера) является необратимой операцией

    На заметку:

    Базы данных системы отмены изменений хранятся в папке BackUp. Если данная папка недоступна для записи, то мастер поиска будет успешно работать, но данные для отмены изменений записываться не будут. Кроме того, следует учесть, что в случае применения мастера для удаления приватных данных следует также удалить базы системы отмены изменений.
     

    Подсистема AVZGuard

    О технологии

    Технология AVZGuard основана на KernelMode драйвере, который разграничивает  доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера.

    В момент активации все приложения делятся на две категории - доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:

    • Создание, модификация и удаление параметров реестра
    • Создание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом диске
    • Обращение к устройствам \device\rawip, \device\udp, \device\tcp, \device\ip
    • Доступ к device\physicalmemory (что блокирует операции с физической памятью из UserMode)
    • Установка драйверов (является следствием блокировки работы с реестром)
    • Запуск процессов
    • Открытие запущенных процессов с уровнем доступа, допускающим его остановку или запись в его адресное пространство
    • Открытие потоков других процессов (при этом недоверенному процессу не запрещается открывать и останавливать свои потоки)

      

    Исходно доверенным является только AVZ, но из меню "AVZGuard\Запустить приложение как доверенное" можно запустить любое приложение. Запускаемое таким образом приложение получает статус доверенного. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.

     

    Назначение:

    Основным назначением системы является:

    • Борьба с трудноудалимыми троянским программами, которые восстанавливают ключи реестра и удаленные файлы, запускают остановленные процессы или иными способами препятствуют  своему удалению. Это основное назначение системы;
    • Защита доверенных приложений от недоверенных. Позволяет защитить AVZ и запущенные им доверенные приложения от воздействия работающих вредоносных программ;
    • Распространение действия антируткита UserMode AVZ на другие процессы. Пример - утилиты типа VBA Console scanner, DrWeb Cure IT, HijackThis и т.п. не обладают функциями детектирования и нейтрализации руткитов. В этом случае можно запустить AVZ, провести нейтрализацию руткитов для его процесса, а затем включить AVZGuard и запустить тот-же DrWeb Cure IT как доверенное приложение. В этом случае драйвер AVZGuard возьмет на себя функцию защиты запущенного процесса, и в том числе не позволит руткиту модифицировать его. Естественно, данная технология не является панацеей от всех видов UserMode руткитов, но основные их типы (в частности Hacker Defender) могут быть нейтрализованы подобным образом.

     

    Рекомендации:
    • Перед включением системы необходимо закрыть все приложения кроме AVZ. Это важный момент, поскольку все запущенные приложения в момент запуска начнут считаться недоверенными и это может заблокировать их работу. На самом деле экспериментально установлено, что большинство приложений сохраняют свою функциональность, так как не совершают блокируемых системой действий. В частности, Internet Explorer, Outlook Express, TheBat продолжают нормально работать в качестве недоверенных приложений;
    • Особенностью блокировки операций с реестром является то, что операция блокируется, но приложение получает статус успешного выполнения и считает, что реестр был изменен. Это сделано специально для совместимости с рядом программ, которые в случае ошибки записи в реестр начинают работать неадекватно. Логику этой блокировки легко изучить при помощи Regedit - его необходимо запустить до включения AVZGuard, далее включить AVZGuard, и c помощью RegEdit изменить значение какого-либо ключа реестра. С точки зрения regedit операция пройдет успешно, но если обновить данный при помощи F5, то можно убедиться, что реестр не изменился.
    • В случае, если проводилось лечение системы, необходимо перезагрузиться не выключая AVZGuard. Это важный момент, связанный с тем, что в системе после лечения могут быть загружены вредоносные DLL, будут продолжать работу троянские потоки и т.п.
    • Управление AVZGuard идет из контекста утилиты AVZ, в случае завершения работы AVZ контроль над AVZGuard будет потерян и он будет функционировать автономно до перезагрузки.
    • Система AVZGuard может многократно включаться/отключаться в процессе работы с AVZ по мере необходимости в ограничении работы запущенных процессов

     

    Особенности выключения ПК при включенном AVZGuard
    • Процесс выключения и перезагрузки при активной системе AVZGuard может занять до 2-3 минут. Это связано с тем, что система не может принудительно закрыть процессы.
    • Некоторые приложение в момент завершения могут выдавать сообщение о ошибках, связанные с ограничением их деятельности
    • Сам AVZ невозможно закрыть по Alt-F4 или при помощи кнопки в заголовке окна. Для завершения работы AVZ при активном AVZGuard необходимо применить пункт меню "Файл/Выход"

     

    Поведение различных программ при включенном AVZGuard непредсказуемо, поэтому настоятельно рекомендуется закрыть все приложения перед включением AVZGuard и перезагрузиться после лечение с его использованием. Важно отметить, что AVZGuard не является системой проактивной защиты или антивирусным монитором - активировать его нужно только на время борьбы с трудноудаляемыми malware.
     

    Управление системой AVZ Guard

    производится из главного меню.

     

    Включение AVZGuard

    Пункт меню "AVZGuard\Включить AVZGuard"  включает систему. По результатам активации выводится диалоговое окно с сообщением о успешном включении или о ошибке. После включения системы пункт меню "Включить AVZGuard" становится неактивным.

     

    Запуск доверенных приложений

    Пункт меню "AVZGuard\Запустить приложение как доверенное" производит запуск указанного приложения в качестве доверенного. На доверенное приложение не распространяется действие AVZGuard и драйвер защищает доверенное приложение от удаления или модификации. Запуск приложения производится из специализированного окна.

     

    Если запускаемое приложение находится в системной папке или путь к нему задано в строке PATH, то допускается указывать только имя исполняемого файла. Поле "командная строка" позволяет указать командную строку запускаемого приложения (необязательно к заполнению). Кнопка в правой части поля "Приложение" позволяет вызвать стандартный диалог выбора файла.

     

    Отключение AVZGuard

    Пункт меню "AVZGuard\Отключить AVZGuard" производит отключение системы AVZGuard. Перед отключением выводится запрос подтверждения операции отключения. После выключения AVZGuard все работающие приложения вновь получают полный контроль над системой, драйвер выгружается.

     

    Добавление работающего процесса в список доверенных

    В AVZGuard предусмотрена возможность добавления работающего процесса в список доверенных. Выполнять данную операцию не рекомендуется, т.к. запущенный до включения AVZ Guard процесс может содержать троянские потоки или руткит-перехватчики. Тем не менее в случае необходимости данная операция выполняется из диспетчера процессов AVZ - при включенном AVZ Guard всплывающее меню таблицы процессов содержит подпункт "AVZGuard - считать процесс доверенным".

     

    Включение AVZ Guard при запуске AVZ

    Если в проверяемой системе работает противодействующее работе AVZ вредоносное приложение, то включение  AVZGuard рекомендуется осуществить при помощи ключа командной строки "AG=Y". Данный ключ анализируется непосредственно в момент запуска AVZ, до инициализации его рабочих окон.

     

    Управление из скриптов

    Для управления подсистемой AVZGuard из скриптов предусмотрены функции SetAVZGuardStatus и GetAVZGuardStatus
     

    AVZGuard и антируткит

    После включения AVZGuard антируткит режима ядра блокируется, а антируткит режима UserMode продолжает нормальную работу. Особенностью AVZGuard является возможность распространения действия UserMode антируткита AVZ на другие процессы. Для этого необходимо действовать по следующей схеме:

    1. Закрыть все приложения
    2. Запустить AVZ, включить противодействие руткитам UserMode и KernelMode и пролечить систему
    3. Включить AVZGuard (это приведет к автоматическому отключению антируткита KernelMode
    4. Для надежности повторно пролечить систему (при этом в сущности производится проверка, удалены ли перехваты UserMode из процесса AVZ)

    При помощи меню "AVZGuard\Запустить приложение как доверенное" запустить любое приложение, которое мы хотим запустить в защищенном от руткита режиме. С высокой степенью

    Эту особенность очень удобно применять для запуска по описанному выше алгоритму антивирусных приложений, которые не оснащены функцией защиты от руткитов. Экспериментально установлено, что по описанному алгоритму можно нейтрализовать HackerDefender и аналогичные ему руткиты UserMode.
     

    Подсистема AVZPM

    Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов. Драйвер написан в строгом соответствии с MSDN и рекомендациями Microsoft для минимизации его воздействия на систему и снижения вероятности конфликта с другим антивирусным программным обеспечением.

     

    Назначение:
    • Мониторинг запуска/остановки процессов
    • Мониторинг загрузки/выгрузки драйверов
    • Ведение списков процессов и загруженных модулей пространства ядра, независимых от системных 

     

    Собираемая драйвером информация используется различными системами AVZ:
    • Антируткитом в ходе проверки системы. Если в системе доступен драйвер мониторинга, то собранные драйвером данные применяется для поиска маскирующихся процессов и драйверов, а так-же искажений в системных структурах (подмена PID, модификация имени модуля и т.п.)
    • Диспетчером процессов AVZ - получаемые от драйвера сведения применяются для отображения маскирующихся процессов
    • Диспетчером "Модули пространства ядра" - получаемые от драйвера сведения применяются для отображения маскирующихся драйверов
    • Исследованием системы - получаемые от драйвера сведения применяются в ходе построения отчета по драйверам и модулям пространства ядра

     

    Применение подобного драйвера является эффективным и документированным путем борьбы с многими DKOM руткитами. Как известно, основная проблема борьбы с DKOM руткитом состоит в том, что он модифицирует системные структуры в памяти и вносит в них заведомо ложную и некорректную информацию. Классический пример - модификация имени процесса и его PID в структуре EPROCESS, практикуемая многими DKOM руткитами. В результате при желании можно обнаружить маскирующийся процесс, но невозможно определить, откуда он запустился, каково имя исполняемого файла и реальный PID его процесса. Аналогично дело обстоит с драйверами - несложно обнаружить маскируемый драйвер в памяти, но практически невозможно вычислить его имя, поскольку грамотно построенный руткит просто уничтожит эту информацию в процессе маскировки. Мониторинг системных событий решает эту проблему - анализатор получает возможность опираться на собственные данные, а не на искаженные руткитом структуры ядра.

     

    Совместимость

    Драйвер мониторинга может применяться совместно с антируткитом и системой AVZ Guard AVZ, а так-же с антивирусными мониторами и HIPS системами других производителей.
     

    Управление системой

    Инсталляция и включение AVZPM

    Для включения AVZPM необходимо выполнить пункт меню "AVZPM/Установить драйвер расширенного мониторинга процессов". Выполнение этого пункта приводит к установке в систему драйвера мониторинга, его регистрации в реестре и загрузке. Драйвер начинает функционировать с момента загрузки, но для получения полной картины о всех запущенных процессах необходима перезагрузка.

    После установки драйвера (или в случае обнаружения драйвера при последующих запусках AVZ) пункт меню "Установить драйвер расширенного мониторинга процессов" автоматически блокируется и разблокируется пункт меню "Удалить драйвер расширенного мониторинга процессов".

     

    Деинсталляция и отключение AVZPM

    Для выключения AVZPM необходимо выполнить пункт меню "AVZPM/Удалить драйвер расширенного мониторинга процессов". Выполнение этого пункта приводит к выгрузке драйвера, удалению его регистрационных ключей из реестра и файла с диска. Операция остановки мониторинга и выгрузки драйвера может занять несколько секунд. Перезагрузка после удаления драйвера не требуется.

    После удаления драйвера пункт меню "Удалить драйвер расширенного мониторинга процессов" автоматически блокируется.

     

    Управление из скриптов

    Для управления подсистемой AVZ PM из скриптов предусмотрены функции SetAVZPMStatus и GetAVZPMStatus

     

    Подсистема Boot Cleaner

    О технологии

    Технология Boot Cleaner основана на KernelMode Boot драйвере, который выполняет заданную последовательность операций в момент загрузки системы. После выполнения заданных операций драйвер автоматически самоуничтожается. Основное назначение - борьба с трудноудалимыми вредоносными программами, пересоздающими свои ключи реестра и файлы, или блокирующие доступ к ним. Драйвер системы Boot Cleaner размещен в AV базе и обновляется в ходе автоматического обновления.

    Назначение:
    • Удаление файлов
    • Удаление ключей реестра
    • Удаление драйверов и служб

    Перечисленные операции выполняются в ходе загрузки системы.

     

    Boot Cleaner является альтернативой отложенному удалению по ряду причин:

    1. В Boot Cleaner предусмотрена возможность ведения протоколов. В протоколе отмечаются все выполняемые операции и фиксируется код статуса (0 - успешно, >0 - код ошибки)

    2. Выполнение сценария Boot Cleaner происходит на раннем этапе загрузки системы, что повышает его эффективность

    3. Boot Cleaner может удалять ключи реестра (и в частности драйверы и службы), в то время как отложенное удаление позволяет оперировать только с файлами.

     

    Совместимость

    Драйвер Boot Cleaner может применяться совместно с антируткитом, системами AVZ Guard и AVZ PM,  а так-же с антивирусными мониторами и HIPS системами других производителей.

     

    Управление системой

    Управление системой производится средствами скриптового языка AVZ.

    Набор команд и примеры подробно описаны в разделе Управление Boot Cleaner

     

    Протоколы

    В процессе работы BootCleaner может формировать текстовые протоколы. Имя и местоположение протокола задается пользователем при помощи команды. Рассмотрим пример скрипта (на момент выполнения скрипта в системе установлен драйвер PE386 и в папке WIndows существует файл trojan1.exe):

    begin

    // Постановка задания

    BC_DeleteSvc('PE386');

    BC_DeleteFile('%Windir%\trojan1.exe');

    BC_DeleteFile('%Windir%\trojan2.exe');

    BC_LogFile(GetAVZDirectory + 'boot_clr.log');

    // Активация

     

    BC_Activate;

    // Перезагрузка

     

    RebootWindows(true);

    end.

     

    После перезагрузки будет сформирован протокол:

     

    -- AVZ Boot cleaner log --

    DeleteFile \??\C:\WINDOWS\trojan1.exe - succeeded

    DeleteFile \??\C:\WINDOWS\trojan2.exe - failed (0xC0000034)

    Delete File \??\C:\WINDOWS\system32:lzx32.sys - succeeded

    Delete Service & File PE386 - succeeded

    -- End --

     

    Структура протокола достаточно проста - в каждой строке указывается операция, имя обрабатываемого в ходе операции объекта и статус. Возможно два статуса:

    • succeeded - операция выполнена успешно
    • failed (0xNNNNNNN)- в ходе выполнения операции возникли ошибки, в скобках указывается код ошибки

     

    Boot Cleaner позволяет удалаять службы и драйверы, содержащие в имени символы с кодом 0 и любые Unicode символы. При формировании протокола символ с кодом 0 заменяется на "*", а не имеющие аналогов в ANSI Unicode символы заменяются на знаки "?"

     

    Удаление файлов, ключей реестра, драйверов и служб при помощи Boot Cleaner может нанести существенный вред системе, поэтому применяйте Boot Cleaner только если Вы уверены в правильности своих действий ! 
     

    Ревизор

    О технологии

    Встроенный в AVZ ревизор диска работает по классической схеме и предполагает выполнение двух операций

    • Изучение имеющихся на диске файлов и построение базы данных, содержащих информацию о этих файлах.
    • Сравнение текущего состояния диска с базой данных. Подобное сравнение позволяет обнаружить, какие файлы/папки были созданы, изменены или удалены с момента создания базы
    • Сравнение может вестись в стандартном режиме (сравниваются размер файла и его контрольная сумма) и скоростном режиме (сравнивается только размер). Скоростной режим удобен для оперативной проверки диска.

     

    Особенности:

    Ревизор AVZ обладает несколькими особенностями, отличающими его от аналогов:

    1. База может размещаться на любом носителе и может храниться где угодно (например, на Flash диске или в сетевой папке). Для достижения такой мобильности в базе хранятся все настройки, необходимые для проведения сравнения.

    2. Для одного компьютера можно создать неограниченное количество баз, сформировав несколько "снимков" в разные моменты времени или с разными настройками

    3. После формирования база сжимается для экономии места. База с результатами анализа папки Windows системы Windows XP занимает на диске около 60 кб, в реальной системе - 50-150 кб (в среднем получается 10 кб базы на 1000 файлов). Небольшой объем базы позволяет хранить ее на Flash диске

    4. Встроенный ревизор AVZ связан с базой безопасных файлов, что позволяет исключать из протокола сравнения файлы, опознанные по базе безопасных AVZ или по каталогу безопасности Microsoft

    5. Ревизор защищен встроенным антируткитом AVZ

     

    Назначение:

    Основным назначением ревизора является:

    1. Поиск модификаций на диске защищаемого компьютера. Позволяет установить, какие файлы были созданы, изменены или удалены с момент построения базы. Кроме того, регистрируется создание и удаление каталогов.
    2. Поиск файлов, маскируемых руткитом. Для выполнения данной операции необходимо
      1. создать базу ревизора, включив в нее системную папку и папки, в которых предполагается наличие руткитов. Построение базы можно вести в быстром режиме для экономии времени)
      2. выполнить сканирование компьютера с включенным противодействием руткитам
      3. не выходя из AVZ произвести сравнение текущего состояния с базой, построенной на шаге 2.1.
    3. Сравнение содержимого некоторой папки на двух идентичных компьютерах

     

    Области применения:

    1. Периодический контроль состояния ПК. Для этого необходимо создать базу для системного диска и хранить ее в надежном месте. Далее с некоторой периодичностью можно сравнивать текущее состояние диска с базой

    2. Поиск руткитов

    3. Отслеживание изменений на ПК пользователей в корпоративной сети. В этом случае базы ревизора можно хранить централизованно на сервере или ПК администратора
     

    Создание базы

    Для создания базы необходимо вызвать окно ревизора (меню Файл/Ревизор) и перейти на закладку "Создание базы".

     

     

    Древовидный список папок "Область поиска" позволяет указать, какие папки должны быть исследованы в ходе создания базы. По умолчанию отмечена системная папка. Можно отметить несколько папок или весь диск (или соответственно несколько дисков) целиком. При этом следует учитывать, что размер файла и время анализа напрямую зависят от количества анализируемых файлов.

     

    В поле "Файл" необходимо задать имя файла базы данных. По умолчанию этот путь указывает на папку Revizor в рабочем каталоге AVZ и имя формируется из текущей даты, однако его можно изменить.

     

    Переключатель "Режим создания базы".

    Очень важный переключатель, влияющий на формирования базы. Поддерживается два режима:

    • Стандартный. Этот режим включен по умолчанию, в нем для каждого анализируемого файла производится расчет контрольной суммы. Эта достаточно длительная операция, однако наличие контрольной суммы позволяет регистрировать изменение содержимого файла. Кроме контрольной суммы в базе сохраняется размер файла, его атрибуты и дата/время
    • Быстрый. В быстром режиме фиксируется только размер файла, его атрибуты и дата/время, а контрольная сумма не вычисляется. Это на 2-3 порядка ускоряет процесс создания базы, но теряется возможность отслеживания изменений файла, не приводящих к изменению его размера. Рекомендуется только для экспресс диагностики

     

    Переключатель "Типы файлов".

    По умолчанию выбран пункт "Потенциально опасные файлы" - в этом случае ревизор анализирует только файлы с определенными расширениями (EXE, DLL, OCX, SYS, CAB, INF …) - т.е. исполняемые файлы или файлы, которые могут содержать данные для установки вредоносных программ или опасные скрипты.

    Выбор пункта "Все файлы" приводит к анализу абсолютно всех файлов, независимо от их расширения. В этом режиме блокируется переключатель "Включая файлы с расширением", т.к. в данном случае он теряет смысл. Включать данный режим без необходимости не рекомендуется, так как это замедлит создание базы и приведет к увеличению ее размера.

    Выбор пункта "Файлы по маскам пользователя" приводит к тому, что поиск ведется только по маскам, заданным пользователем в полях "Включая файлы по маске" и "Исключая файлы по маске".

     

    Переключатель "Включая файлы с расширениями"

    Переключатель "Включая файлы по маске:" позволяет включить в поиск файлы, соответствующие заданной пользователем маске. Этот переключатель теряет смысл в режиме "Все файлы" и при выборе этого режима автоматически выключается и становится недоступным.

     

    Переключатель "Исключая файлы с расширениями"

    Переключатель "Исключая файлы по маске:" позволяет исключить из проверки файлы, соответствующие заданной пользователем маске. Исключение файлов по маске может использоваться совместно с включением по маске или режимов "Все файлы". Указание одинаковых элементов в списке включения и исключения не является ошибкой, исключение имеет приоритет над включением - например, при указании включения в сканирование файлов *.vir и исключения *.vir приоритетно исключение. Более того, исключение по более общей маске доминирует над включением, например при включении trojan*.exe и исключении *.exe файл с именем trojan.exe будет исключен из проверки

    На заметку:

    Поля с маской могут включать несколько масок, разделенных запятой, пробелом или символом ";". В маске могут присутствовать символы "?" (любой символ в позиции знака ?) и * (любые символы).

    *.* - поиск всех файлов

    *.exe - поиск файлов с расширением exe

    dialer.exe - поиск файла с конкретным именем "dialer.exe"

    dialer.exe, *.dll, trojan*.sys - поиск файлов с именем dialer.exe или файлов с любым именем и расширением DLL или файлов с именем Trojan<любые символы>.sys

    *.exe, *.dll, *.sys, *.ocx - поиск файлов с указанными расширениями

     

    Для создания базы необходимо нажать кнопку "Пуск", для досрочной аварийной остановки - кнопку "Стоп" (в случае досрочной остановки файл не создается).

    Как уже отмечалось в описании технологии, для одного компьютера можно создать неограниченное количество база (для различных папок и дисков, а разных режимах и т.п.). Естественно, что при создании нескольких баз придется дать им различные имена.

     

    Сравнение

    Для сравнения текущего состояния диска с базой необходимо вызвать окно ревизора (меню Файл/Ревизор) и перейти на закладку "Сравнение диск <> база".

     

     

     

    В поле "Файл"

    необходимо задать имя существующей базы данных ревизора. Нажатие кнопки "Пуск" запускает сравнение, нажатие кнопки "Стоп" - прерывает его (при этом протокол не очищается).

     

    Закладка "Настройки"

    Содержит настройки сравнения. В настройках нет возможности задать маски или выбрать каталоги, так как эти настройки уже были заданы в момент создания базы ревизора и сохраняются в базе данных.

     

    Переключатель "Режим сравнения".

    Очень важный переключатель, влияющий на процесс сравнения состояния диска с базой. Поддерживается два режима:

    • Стандартный. Этот режим включен по умолчанию, в нем для каждого анализируемого файла производится расчет контрольной суммы и сравнение файла ведется по его размеру и содержимому. Эта достаточно длительная операция, однако наличие контрольной суммы позволяет регистрировать изменение содержимого файла. Кроме контрольной суммы в базе сохраняется размер файла, его атрибуты и дата/время
    • Быстрый. В быстром режиме фиксируется сравниваются только размеры файла. Рекомендуется только для экспресс диагностики

    На заметку

    Важно отметить, что если база создавалась в стандартном режиме, то сравнение возможно в стандартном и быстром режимах. Если база создавалась в быстром режиме, то сравнение возможно только в быстром режиме. если в момент загрузки базы после нажатия кнопки "Пуск" обнаружится, что она создана в быстром режиме, то режим сравнения автоматически переключится в положение "Быстрый" независимо от выбор пользователя.

     

    Переключатели "Исключить файлы, известные AVZ как системные и безопасные" и "Исключить файлы, прошедшие проверку подлинности Microsoft" позволяют уменьшить размер протокола с результатами сравнения путем выполнения соответствующей проверки для созданных и измененных файлов. В некоторых случаях (например, после установки обновлений и сервиспаков) включение данных переключателей существенно уменьшает размер протокола.
     

    Категории вредоносных программ

    Вирусы

    В эту категорию попадают все вредоносные программы, не относящиеся к остальным категориям, в частности:

    • Собственно вирусы, т.е. вредоносные программы, обладающие способностью заражать файлы, т.е. приписывать к ним свой исполняемый код и модифицировать зараженную программу таким образом, чтобы при запуске зараженной программы машинный код вируса получал управление;
    • сетевые и почтовые черви (I-Worm, Net-Worm, Worm, Email-Worm),
    • троянские программы (Trojan, Trojan-Spy, Trojan-Downloader, Trojan-Dropper),
    • утилиты скрытного удаленного управления (Backdoor).
    AdWare

    В эту категорию включены программы и модули, предназначенные для несанкционированной загрузки и отображения на компьютере пользователя рекламной информации. AdWare могут быть самостоятельными программами или различными модулями расширения браузера.
     

    Spy и SpyWare

    Как следует из названия, SpyWare - это программа-шпион. Как правило, эта категория очень тесно переплетается с AdWare (по многим классификациям AdWare считается подклассом SpyWare). Чисто формально это так и есть - AdWare в процессе своей работы "посещают" сайты, с которых они закачивают рекламную информацию. В протоколах этих сайтов отмечается периодичность обмена, фиксируется IP адрес компьютера пользователя. При использовании в AdWare стандартных API функций для загрузки файлов из Интернет в заголовке запроса будет фигурировать версия браузера пользователя и прочие параметры.

     

    Задачей SpyWare является сбор информации о пользователе и скрытная передача этой информации на сайт разработчиков. Стоит сразу отметить, что в отличие от троянских программ SpyWare не передает пароли, номера кредитных карт и иную информацию, на основании которой можно в последствии нанести серьезный вред пользователю. Как правило, SpyWare передает данные о конфигурации компьютера, установленном программном обеспечении, посещаемых пользователем URL и вводимых поисковых запросах и т.п. Эта информация в большинстве случаев используется для маркетинговых исследований и передаче пользователю целевой рекламной информации (т.е. рекламы, которая по тематике связана с его кругом интересов).

     

    Многие SpyWare представляют собой панели, расширяющие возможности браузера. Подобное решение очень удобно для шпионажа за работой пользователя в Интернет - SpyWare может отслеживать посещаемые URL и вмешиваться в работу браузера. При этом он сам не является отдельной задачей Windows, что затрудняет его обнаружение. Кроме того, обмен подобного SpyWare информацией с Интернет ведется из контекста браузера, и большинство Firewall не блокируют его.

     

    Еще одной неприятной особенностью многих SpyWare и AdWare является способность периодической проверки своих обновлений на сайте разработчика. При обнаружении обновления производится его скрытная закачка (на что затрачивается трафик) и установка.
     

    PornWare и Dialer

    В категорию PornWare включено все, имеющее отношение к порносайтам. В первую очередь это Dialer (или в просторечие порнозвонилка) - особая программа для автоматического дозвона на порносайты и (или) перенастройки имеющихся соединений удаленного доступа для набора номера модемного пула владельцев порносайта вместо номера телефона местного провайдера.

     

    Известно множество случаев, когда в результате работы Dialer пользователям приходили внушительные счета за пользование платными услугами или междугородные (международные) звонки.
     
    Кроме того, в эту категорию включаются разнообразные панели для браузера и прочие программы, устанавливающиеся при посещении порносайтов.
     

    Hijacker

    Hijacker - это программа, которая выполняет несанкционированную пользователем перенастройку системы, чаще всего браузера. Задачей такой перенастройки является принудительная смена стартовой страницы, страницы поиска, соответствия префиксов протоколов и т.п. Наиболее знаменитым Hijacker вероятнее всего является Sexque. Кроме того, в категорию Hijacker принято включать ключи реестра, переадресующие браузер на посторонние WEB страницы.

     

    RiskWare

    RiskWare - это программное обеспечение, которое не является вирусом или вредоносной программой, но применение которого может нанести вред пользователю  (его частной информации, документам и т.п.) или операционной системе.

     

    Типичным примером являются многие клавиатурные шпионы (Keylogger) - это зачастую коммерческие продукты, снабженные инсталлятором, деинсталлятором, документацией и справочной системой. Более того, многие из них устанавливаются и конфигурируются исключительно вручную. Однако работа таких программ может принести существенный вред пользователю - он может быть куплен у производителя злоумышленником, установлен на Ваш компьютер и настроен на работу  в скрытном режиме. Опираясь на полученную с помощью клавиатурного шпиона информацию, злоумышленник может нанести очень существенный вред.

     

    Второй типичный пример - утилита Remote Admin, позволяющая удаленно управлять компьютером. С одной стороны это полезная программа, с другой - установка этой программы на Ваш компьютер, произведенная злоумышленником, может привести к утечке информации  - полезная программа превращается в backdoor.

     

    Вывод - уничтожать такие программы в большинстве случаев не следует. Необходимо разобраться, откуда программы категории RiskWare появились на RiskWare компьютере и нужны ли они для работы.

    При формировании названия известных вирусов и вредоносных программ для вирусов за основу берется система имен лаборатории Касперского (причина кроется в толковой классификации и наличии энциклопедии компьютерных вирусов).
     

    Дополнительная информация

    Что такое RootKit?

     

    Термин RootKit исторически пришел из мира Unix, и под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор, как правило, включает в себя разнообразные утилиты для заметания следов вторжения в систему, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные утилиты Unix. RootKit позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности.

    В системе NT/W2K/XP RootKit принято считать программу, которая внедряется в систему и перехватывает системные функции (API). Перехват и модификация низкоуровневых API функций в первую очередь позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, RootKit может маскировать присутствие в системе любых описанных в его конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие RootKit устанавливают в систему свои драйверы и сервисы (они естественно также являются "невидимыми").

    Самостоятельно обнаружить запущенный RootKit крайне сложно - он не виден в стандартном диспетчере процессов, его ключи реестра не отображаются в редакторе реестра Regedit, файлы невидны в Explorer и других программах просмотра диска.

    Для обнаружения RootKit применяются специальные методики, причем наибольшую сложность обычно составляет не обнаружение RootKit, а корректное восстановление пораженных им функций в памяти без перезагрузки компьютера для проведения поиска и уничтожения RootKit.

    Если Вы не уверены в том, что  перехват функций произведен полезной программой, то можно попробовать включить противодействие RootKit. В результате AVZ попробует восстановить исходную работу перехваченных функций, противодействие распространяется только на процесс AVZ и не должен сказываться на работе системы в целом.

    Антивирус  AVZ может противодействовать распространенным типам RootKit. Однако стоит отметить, что процесс борьбы с запущенным RootKit в памяти может привести к зависанию программы AVZ, других программ и системы в целом. Поэтому противодействие RootKit нужно включать, закрыв другие приложения и завершив работу антивирусного монитора и Firewall (последнее обязательно, т.к. мониторы антивирусов и Firewall часто перехватывают API функции).

    Подробнее про RootKit и методики перехвата API функций можно прочитать в моей статье "RootKit - принципы и механизмы работы", опубликованной в журнале КомпьютерПресс № 5.2005 или в разделе "Сетевая и информационная безопасность" моего сайта.


     

    Эвристический анализатор AVZ

    Антивирусная программа производит поиск вирусов и вредоносных объектов на основании сравнения исследуемой программы со своей базой данных с описаниями вирусов. При обнаружении соответствия антивирус может производить лечение найденного вируса, причем правила и методики лечения обычно хранятся в той же базе данных.

     

    Однако эта база данных становится уязвимым местом антивируса - он может обнаруживать только вирусы, описанные в его базе данных. Частично устранить эту проблему позволяет эвристический анализатор - специальная подсистема антивируса, которая пытается обнаружить новые разновидности вирусов, не описанные в базе данных.  Кроме вирусов эвристический анализатор AVZ пытается обнаружить шпионское ПО, Hijacker и троянские программы.

     

    Работа эвристического анализатора основана на поиске характерных для вирусов и шпионских программ особенностей  (фрагментов программного кода, определенных ключей реестра, файлов и процессов). Кроме того, эвристический анализатор пытается оценить степень похожести исследуемого объекта на известные вирусы.

     

    Для поиска шпионского ПО, RootKit и Hijacker наиболее эффективен эвристический анализ не отдельно взятых файлов на диске, а всей системы в целом. При этом анализируется совокупность данных в реестре, файлов на диске, процессов и библиотек  в памяти, прослушиваемых TCP и UDP портов, активных сервисов и загруженных драйверов.

     

    Особенностью эвристического анализа является достаточно высокий процент ошибок - эвристик может сообщить об обнаружении подозрительных объектов, но эта информация нуждается в проверке специалистами-вирусологами. В результате проверки объект признается вредоносным и включается в базы или фиксируется ложное срабатывание и в алгоритмы эвристического анализатора вводится поправка. 

     

    В большинстве антивирусов (в том числе и в AVZ) имеется возможность регулировки чувствительности эвристического анализатора. При этом всегда возникает противоречие - чем выше чувствительность, тем выше вероятность обнаружения эвристикой неизвестного вредоносного объекта. Но при увеличении чувствительности возрастает вероятность ложных срабатываний, поэтому нужно искать некую "золотую середину".

    Эвристический анализатор имеет несколько ступеней чувствительности и два особых режима:

    • блокировка работы эвристического анализатора. При этом анализатор полностью выключается из работы. В AVZ кроме регулировки уровня чувствительности эвристического анализатора есть возможность включать и выключать эвристический анализ системы;
    • "параноидальный" режим - в этом режиме включается максимально возможная чувствительность и предупреждения выводятся при малейшем подозрении. Этот  режим естественно неприемлем из-за очень высокого количества ложных срабатываний, но он иногда полезен.

     

    Основные сообщения эвристического анализатора AVZ приведены в следующем списке:

    • "Имя файла >>> подозрение на имя_вируса (краткие данные об объекте)" Подобное сообщение выдается при обнаружении объекта, который по мнению AVZ похож на известный вредоносный объект. Данные в скобках позволяют разработчику найти в базе антивируса запись, которая привела к выдаче данного сообщения;
    • "Имя файла >>> PE файл с нестандартным расширением" - это означает, что обнаружен программный файл, но вместо типичного расширения EXE, DLL, SYS он имеет другое, нестандартное расширение. Это не опасно, но многие вирусы маскируют свои PE файлы, давая им расширения PIF, COM. Данное сообщение выводится в любом уровне эвристики для PE файлов с расширением PIF, COM , для остальных - только при максимальном уровне эвристики;
    • "Имя файла >>> В имени файла больше 5 пробелов" - множество пробелов в имени файла - это редкость, однако многие вирусы применяют пробелы для маскировки реального расширения, создавая файлы с именами типа "photo.jpeg                             .exe";
    • "Имя файла >>> Обнаружена маскировка расширения" - аналогично предыдущему сообщению, но выдается при обнаружении более 15 пробелов в имени;
    • "Имя файла >>>  файл не имеет видимого имени" - выдается для файлов, не имеющих имени (т.е. имя файла имеет вид ".exe" или ".pif");
    • "Процесс Имя файла может работать с сетью" - выводится для процессов, которые используют библиотеки типа wininet.dll, rasapi32.dll, ws2_32.dll - т.е. системные библиотеки, содержащие функции для работы с сетью или управления процессом набора номера и установления соединения. Данная проверка производится только при максимальном уровне эвристики. Факт использования сетевых библиотек естественно не является признаком вредоносности программы, но обратить внимание на непонятные процессы в этом списке стоит;

     

    После сообщения может выводиться цифра, которая представляет собой степень опасности в процентах. На файлы, для которых выдана степень опасности более 30, следует обратить особое внимание.
     

     

    Local Service Provider (LSP/SPI)

    Мне часто задавали вопросы, связанные с функционированием сети, понятиями SPI, LSP, NSP … поэтому я решил создать этот раздел справочной системы и подробно расписать базовую теорию и то, как вредоносные программы могут повредить работу Winsock.

    Условно схема работы Winsock отображена на рисунке:

     

    Winsock 2 имеет как бы две "зеркальные стороны" - Winsock API и Winsock SPI. Winsock API предназначен для реализации архитектуры открытых систем Windows (WOSA), обладающей стандартными API интерфейсами между Winsock и использующими его приложениями. SPI - это интерфейс между Winsock и поставщиками служб Winsock.

     

    Поставщики услуг SPI бывают двух типов:
    • Поставщик пространства имен (Namespace Provider, NSP). Задача поставщика пространства имен  - независимое от протокола разрешение имен, т.е. преобразование дружественного имени в зависимый от протокола адрес. Классическим примером может являться DNS, который преобразует дружественное для пользователя имя www.z-oleg.com в IP адрес сервера, на котором размещен данный сайт;
    • Поставщик транспорта (Transport Service Provider, TSP). TSP - это службы, предоставляющие функции установления связи, передачи данных, управления потоком, обработки ошибок и т.п. Поставщики транспортной службы бывают двух видов - базовые и многоуровневые. Базовые (Base) поставщики реализуют конкретные  детали сетевого транспортного протокола (типа TCP/IP), включая базовые сетевые функции протокола, такие как отправка и получение данных по сети. Многоуровневые (Layered) поставщики реализуют только высокоуровневые функции связи нуждаются в базовом поставщике для фактического обмена по сети;

     

    Как видно из рисунка, поставщиков NSP и TSP может быть несколько (если точнее - то практически неограниченно много). Еще более интересно то, что список используемых LSP и TSP хранится в специальной базе данных (которая размещена в реестре). Более того, в Winsock API есть функции, которые позволяют программе не только получать списки LSP и TSP, но и регистрировать своих поставщиков.

     

    С точки зрения физической реализации провайдер SPI является обычной DLL, разработанной по определенному стандарту - в частности, эта DLL обязана экспортировать ряд функций для взаимодействия с Winsock.

     

    С одной стороны, хранение списка поставщиков и их параметров в базе данных и наличие функции для управления этой базой является очень грамотным шагом - любое приложение может инсталлировать свои провайдеры SPI, расширяя возможности Winsock. При этом прикладной программе совершенно не обязательно знать с том, какие конкретно провайдеры SPI и как именно обеспечивают разрешение имен и обмен по сети. Получается универсальная система, и многие программы используют эти возможности - при помощи AVZ нетрудно исследовать настройки SPI и посмотреть, какие провайдеры там зарегистрированы - в списке провайдеров можно обнаружить Firewall, антивирусы, разнообразные антишпионские программы, утилиты для борьбы с рекламой, учета трафика и т.п.

     

    Однако теперь давайте посмотрим на SPI глазами разработчика вирусов и SpyWare/AdWare программ. Получается, что установив 2-3 провайдера  можно взять под контроль весть обмен компьютера с сетью. При помощи своего поставщика пространства имен вредоносная программа может отслеживать запросы на разрешение имени (собственно для шпионажа) и вмешиваться в этот процесс. Упрощенно говоря, к примеру вы запрашиваете адрес сайта www.yandex.ru, а "вражеский" NSP выдаст вместо этого IP адрес скажем адрес www.никому не известный поисковик.com Аналогичные "безобразия" можно устраивать на уровне поставщика транспорта - SpyWare чаще всего устанавливают свои Layered Service Providers - LSP. Получается, что открытость и универсальность SPI Winsock становится его уязвимым местом - создатели вредоносного ПО знают это и активно используют. Примеров очень много - Spy.NewDotNet (not-a-virus:AdWare.NewDotNet), Spy.SAHAgent, Spy.WebHancer, Trojan.Riler, Adware.SpywareNuker, Backdoor.Kika … - список можно продолжать достаточно долго. Кроме вмешательства в работу Winsock выполнение backdoor-компоненты в виде SPI имеет множество преимуществ - скрытный запуск, отсутствие видимого процесса.

     

    Возможность установки вредоносной в качестве SPI провайдера - это еще только половина проблемы. Оказывается, что у Winsock есть очень неприятная особенность - любое повреждение базы данных в реестре с описанием поставщиков SPI приводит к сбоям в работе Winsock (конкретный вид сбоев зависит от характера повреждения, однако все ошибки для пользователя обычно сводятся к двум - компьютер перестает "видеть Интернет" и возникают проблемы при работе с локальной сетью - если проанализировать приведенную в начале данного раздела схему, то такие ошибки понятны и закономерны). Причин повреждения настроек SPI может быть очень много, наиболее характерные:

    • Удаление DLL, являющейся провайдером SPI без отмены ее регистрации в базе провайдеров SPI (DLL может быть удалена вручную, антивирусным сканером, анти-шпионской программой, штатным деинсталлятором - способ удаления не важен);
    • Повреждение базы в реестре в ходе инсталляции/деинсталляции SPI провайдеров, либо в результате  ручной "чистки" реестра.

     

    При обнаружении ошибки Winsock в частности в вся система Windows в целом не принимают никаких мер по ее ликвидации и не выдают никаких диагностических сообщений. Важно отметить, что переустановка системы "поверх" имеющейся не приводит к исправлению настройки SPI.

     

    Как видно из приведенного мной описания, термин LSP встретился пару раз - я вообще заострил на нем внимание из-за утилиты LSP Fix и кочующего по описаниям троянских и SpyWare программ термина "LSP" - его применение во многих случая не совсем корректно. Причем тенденции "исправления" терминологии постепенно появляются - в последних описаниях вирусов они начинают давать более корректные и конкретные термины типа "…Registers a Windows sockets SPI hook in the LSP chain named…". Поэтому "лечить" и восстанавливать необходимо именно настройки SPI, а не LSP …
     

    Параметры командной строки

    Основные параметры

    SCAN={каталог}        Добавляет каталог или диск в список сканируемых. Путь должен начитаться с буквы диска, например c:\windows. В командной строке можно указать неограниченное количество параметров SCAN - обрабатываются все параметры, что позволяет задать сканирование нескольких каталогов.  Указание несуществующего каталога не является ошибкой - он просто игнорируется. Повторное указание одного и того-же каталога или указание родительского каталога и его вложенных каталогов также не является ошибочным AVZ <суммирует> все указанные каталоги с учетом их вложенности.  Пример: SCAN=c:\windows

    SCANDRIVE= [Hp|Fp|CDROM] Добавляет все диски заданного типа в список сканируемых. Поддерживается три типа дисков: Hp - отмечаются все жесткие диски, Fp-отмечаются все дисководы и Flash диски, CDROM- отмечаются все CD/DVD диски и диски, созданные эмуляторами CD дисков. Допустимо указание нескольких вариантов через запятую или знак + (без пробелов до и после запятой или знака + !), например, SCANDRIVE=Hp+CDROM

    SCANFILE={имя файла} Сканирование отдельного файла. Подобных параметров может быть несколько, сканирование файлов производится в порядке следования ключей. Указание несуществующего файла или повтор не является ошибкой. Пример: SCANFILE=c:\windows\trojan.exe

    NOSCAN={каталог} Исключение заданного каталога из списка проверяемых. Путь должен начитаться с буквы диска, например c:\windows. В командной строке можно указать неограниченное количество параметров NOSCAN - обрабатываются все параметры, что позволяет задать сканирование нескольких каталогов. Все параметры NOSCAN анализируются после построения списка сканируемых каталогов, основанного на параметрах SCAN. Указание несуществующего каталога не является ошибкой - он просто игнорируется. Повторное указание одного и того-же каталога или указание родительского каталога и его вложенных каталогов также не является ошибочным AVZ "суммирует" все указанные каталоги с учетом их вложенности.

    Пример: SCAN=c:\ NOSCAN=c:\aids - будет проведено сканирование всего диска C:\ за исключение папки c:\aids

    ScanAllFiles=[Y|N]        Сканировать все файлы (независимо от расширения). Аналогично установке переключателя <Типы файлов> в положение <Все файлы>

    ScanFilesMode=[0|1|2] Задает режим сканирования. 0 - сканирование потенциально-опасных файлов, 1 - сканирование всех файлов, 2 - сканирование файлов по маске. В режиме 2 необходимо задать маски ключами IncludeFiles и ExcludeFiles.

    IncludeFiles={маска} Задает маску (или набор масок) файлов, которые необходимо проверять. Аналогично заполнению поля <Включая файлы по маске:> и включению одноименного переключателя

    ExcludeFiles={маска}        Исключить файлы с именами/расширениями по маске. Аналогично заполнению поля <Исключая файлы по маске: :> и включению одноименного переключателя

    WinTrustLevel=[0|1|2]        Режим проверки файла по каталогу безопасности Microsoft (0-отключена, 1-проверка по каталогу, 2-проверка по каталогу полюс комплексная проверка ЭЦП самого файла). По умолчанию установлен режим 1, включение режима 2 повышает надежность проверки, но увеличивает время проверки файла примерно в 2-3 раза.

    ScanProcess=[Y|N]        Проверять процессы и DLL, загруженные в память, по умолчанию включена

    ScanSystem=[Y|N]        Эвристическая проверка системы при помощи микропрограмм эвристики, по умолчанию включена

    ScanSystemIPU=[Y|N]        Эвристическая проверка системы при помощи микропрограмм ИПУ - искателя потенциальных уязвимостей, по умолчанию включена

    RepGoodFiles = [Y|N] Включать в отчет информацию о файлах, которые по мнению AVZ являются "чистыми"

    RepGoodCheck = [Y|N] Проверка "чистых" файлов по базе безопасных и базе ЭЦП Microsoft в выводом результатов проверки в протокол. Имеет смысл только при RepGoodFiles = Y

    CheckArchives=[Y|N] Проверять архивы и составные файлы

    UseInfected=[Y|N]        Копировать удаляемые файлы в Infected

    UseQuarantine=[Y|N] Копировать подозрительные файлы в карантин

    EvLevel=[0|1|2|3]        Уровень чувствительности эвристического анализатора (0-выключен, 3-максимальный уровень)

    ExtEvCheck=[Y|N]        Расширенная эвристическая проверка. Имеет смысл только при уровне эвристической 3.

     

    Антируткит

    RootKitDetect=[Y|N]        Включение детектора RootKit и перехватчиков API

    AntiRootKitSystem=[Y|N]        Включение системы противодействия RootKit (на всех доступных уровнях). Включение противодействия RootKit автоматически включает их детектирование.

    AntiRootKitSystemUser=[Y|N] Включение системы противодействия RootKit только UserMode.

    AntiRootKitSystemKernel=[Y|N] Включение системы противодействия RootKit только KernelMode.

    На заметку:

    Параметры AntiRootKitSystemUser и AntiRootKitSystemKernel имеют приоритет над AntiRootKitSystem. Например, указание AntiRootKitSystem=Y AntiRootKitSystemKernel=N приведет к тому, что будет включена блокировка только руткитов UserMode (первый параметр включит все, а второй - отключит проверку KernelMode)

     

    CheckLSP=[Y|N] Проверять настройки SPI/LSP. По умолчанию включено

    AutoRepairLSP=[Y|N] Автоматически исправлять ошибки в настройке SPI/LSP. Работает только при условии, что CheckLSP=Y. По умолчанию отключено

    KeyloggerSearch=[Y|N] Поиск клавиатурных шпионов и троянских DLL. По умолчанию включено

    SearchTrojanPorts=[Y|N] Поиск портов, применяемых троянскими программами. По умолчанию включено

    AutoFixSysProblems=[Y|N] Автоматическое исправление системных проблем, найденных на шаге 9 сканирования системы (поддерживается начиная с версии 4.30, по умолчанию выключено)

    Profile={имя профиля}        Загрузить профиль, хранящийся в указанном имени файла. Если не указан полный путь, то профиль ищется в текущей папке. Можно указать несколько параметров Profile (в этом случае загружаются все профили в порядке их упоминания в командной строке). Профиль в свою очередь также может содержать параметры Profile, что позволяет профилям ссылаться друг на друга. При загрузке проводится контроль - каждый профиль загружается только один раз, что позволяет корректно отрабатывать ситуации с перекрестными ссылками профилей

    DelVir=[Y|N]        Удаление/лечение найденных вирусов

    ModeVirus=[0|1|2]        Режим для вирусов (0-только отчет, 1- удалять или лечить, 2-спросить пользователя)

    ModeAdvWare=[0|1|2]        Режим для AdvWare (0-только отчет, 1- удалять, 2-спросить пользователя)

    ModeSpy=[0|1|2]        Режим для Spy и SpyWare (0-только отчет, 1- удалять, 2-спросить пользователя)

    ModePornWare=[0|1|2]        Режим для PornWare и Dialer (0-только отчет, 1- удалять, 2-спросить пользователя)

    ModeRiskWare=[0|1|2]        Режим для RiskWare (0-только отчет, 1- удалять, 2-спросить пользователя)

    ExtFileDelete=[Y|N] Эвристическое удаление файлов. Подразумевает анализ системы, поиск и удаление ссылок на каждый стертый файл

    Run=[Y|N]        Автоматический запуск сканирования. Выполняется после выполнения всех остальных параметров

    Обработка параметров без знака "="

    Все параметры AVZ имею вид Имя=Значение.  Параметры, не содержащие знак равенства рассматриваются как имена файлов и папок, которые требуется просканировать. Для них выполняется две проверки:

    1. Параметр рассматривается как имя каталога. Если каталог с таким именем существует, то он отмечается на проверку (в данном случае это эквивалентно ключу SCAN=<каталог>)
    2. Если на шаге 1 каталог с указанным именем не найден, то значение параметра рассматривается как имя файла. Если файл с таким именем существует, то он отмечание  на проверку (в данном случае это эквивалентно ключу SCANFILE={имя файла})


     

    Специализированные ключи

    Специализированные ключи не дублируются визуальными элементами настройки и предназначены в основном для системных администраторов.

    Script=<имя скрипта> - загрузка и выполнение указанного скрипта. Данный ключ обрабатывается последним, независимо от его положения в командной строке

    HipenMode=[0|1|2|3] - режим запуска графической оболочки AVZ:

    0 -  Стандартный режим, окно видимо и доступно пользователю

    1 - Окно AVZ невидимо, в трее отображается иконка. Пользователь может развернуть окно нажатием мышью на иконку. Пользователю доступно связанное с иконкой меню, позволяющее остановить и запустить сканирование.

    2  - Окно AVZ невидимо, в трее отображается иконка, однако меню иконки заблокировано и пользователь не может развернуть окно AVZ

    3 - Окно AVZ невидимо, иконка в трее не отображается.

    Настройка режима работы полезна в случае запуска AVZ для проверки рабочих мест пользователей из logon-скрипта или при помощи автозапуска.

     

    DetectMailBomb=[Y|N] - детектор "почтовых бомб" в системе распаковки архивов. Почтовой бомбой считается файл, размером более 10 Мб со степенью сжатия более 100.

    Unpack_Archives=[Y|N] -  распаковка проверяемых архивов и составных файлов типа MHT и почты в папку Unpacked в рабочей директории AVZ. Файлы группируются по типу архива и его имени.

    Priority=[-1|0|1] - настройка приоритета процесса AVZ. -1 - пониженный приоритет, 0 - стандартный, 1 - повышенный. Пониженный приоритет полезно задавать в случае применения AVZ в качестве средства фонового сканирования.

    SleepScanTime=N, где N - время в миллисекундах. Задержка не заданное кол-во миллисекунд выдается после сканирования каждого файла, применяется для замедления процесса сканирования с целью минимизации нагрузки на диски и процессор, полезно для фоновой проверки папок на сервере. Например, если задать значение 100, то в результат в 1 секунду будет проверяться 10 файлов.

    ScanAVZFolders=[Y|N] разрешает/запрещает сканировать папку AVZ и все уровнями глубже. По умолчанию параметр равен N, т.е. все файлы внутри рабочей папки AVZ не сканируются, что в частности защищает папку Infected от повторной проверки и лечения. Однако это не всегда удобно.

    NQ=[Y|N] - сетевой режим карантина. В сетевом режиме карантина в имя папки карантина файла кроме даты включается сетевое имя ПК, это сделано для запуска AVZ из сетевой папки на сервере - в такой ситуации у каждого пользователя получается индивидуальный карантин и папка Infected, а администратор может легко ассоциировать попавшие в карантин файлы с компьютером.

    WebServerMode=[Y|N] - режим запуска на WEB сервере для on-line проверки. Приводит к отключению сканирования памяти, расширенной проверки системы, поиска LSP ошибок, руткитов ...  Назначение ключа - запуск AVZ в максимально облегченном режиме, что полезно при использовании AVZ в качества средства on-line проверки файлов. Особенность в том, что по мере появления новых видов анализа памяти и системы они будут блокироваться данным ключом.

    AG=[Y|N] - включение AVZGuard в момент запуска AVZ. Этот ключ допустим только во командной строке, в скриптах он не поддерживается. Обработка ключа AG производится в момент запуска AVZ, до его инициализации и создания рабочих окон.

    AM=[Y|N] - включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками. Задание AM=Y приводит к удалению текста из заголовка главного окна AVZ, удаляет смысловое имя приложения. В данном режиме окно AVZ не подчиняется команде закрытия, выйти из AVZ можно только через меню "Файл\Выход" или по команде скрипта. Поддерживается в AVZ начиная с версии 4.32

    MiniLog=[Y|N] - включение режима сокращенного протоколирования. В этом режиме в протокол выводится только значимая информация (предупреждения, подозрения, данные о ошибках, текстовый вывод скриптов), вывод остальной информации подавляется (в частности, не выводится информация о загруженных базах, шапки с копирайтами, технические данные антируткита и т.п.). Режим полезен для сисадминов, применяющих AVZ для проверки ПК в автоматическом режиме - сокращенный протокол гораздо меньше по размеру и его проще анализировать вручную или автоматически.

    ExtUpdates=[Y|N] - включение режима расширенного обновления, для обновления баз на WEB серверах. В обычном случае  AVZ загружает базы и обновленную базу можно вручную скопировать в любой другой каталог, но если открыть доступ к папке BASE по FTP или HTTP, то AVZ не сможет обновляться из нее, так как в папке BASE отсутствует описание состава баз avzupd.zip, применяемое для инкрементного обновления. Задание ключа ExtUpdates=Y приводит к тому, что в процессе обновления данный файл будет скопирован в папку BASE

    SpoolLog=<имя файла> - Дублирование протокола в указанный текстовый файл. Текстовый файл создается при его отсутствии и дополняется в случае наличия. Запись ведется без кеширования, открытие/закрытие файла производится в ходе записи каждой строки - это позволяет применять подобный протокол для диагностики ошибок в случае аварийного завершения AVZ.

    QuarantineBaseFolder=<имя папки> - задает базовый каталог для папок Quarantine и Infected. По умолчанию данные папки расположены  в рабочем каталоге AVZ. Данная опция полезна в случае запуска AVZ с BootCD или иного ReadOnly носителя, например из сетевой папки.

    TempFolder=<имя папки> - Задает каталог для временных файлов. Если каталог с указанным именем не существует, то он автоматически создается. Данная опция позволяет переместить каталог с временными файлами AVZ в папку, проверка которой запрещена в настройках используемого антивирусного монитора. Кроме того, при помощи данного ключа можно переместить папку для временных файлов на виртуальный диск, что приведет к повышению скорости проверки архивов.
     

    Коды возврата

    Для взаимодействия с другими приложениями AVZ устанавливает коды возврата:

    0 - в процессе сканирования не обнаружены подозрительные или вредоносные объекты

    1 - обнаружены вредоносные объекты

    2 - вредоносные объекты не обнаружены, но есть подозрения файлового сканера или эвристических анализаторов
     

    Примеры

    Пример конфигурации

    Командная строка: avz.exe ScanDrive=Hp profile=exclude.txt DelVir=Y Run=Y

    Файл exclude.txt:

    NoScan=c:\VirusTest

    NoScan=c:\Virus

    NoScan=d:\aids

     

    В данном примере при запуске AVZ автоматически отмечаются все Hp, производится исключение определенных папок (для параметров исключения применен профиль) включается режим лечения и после всех настроек производится запуска сканирования.
     

    Часто задаваемые вопросы (FAQ)

    Что делать, если AVZ обнаружил подозрение на вирус или вредоносную программу ?

    Утилита AVZ задумана как утилита, оснащенная массой различных проверок и анализаторов, порой параноидальных. Это сделано специально, т.к. AVZ часто применяется для анализа ПК, проверка которых другими средствами ничего не дала.

    Поэтому ложные срабатывания возможны, и в этом случае в протоколе для объекта дается формулировка "Подозрение на ..." (на месте троеточия может выводиться категория вредоносной программы и уточняющие данные)

    В случае обнаружения подозрительных объектов следует придерживаться следующей методике:

    1. Ни в коем случае не следует уничтожать подозрительные файлы. То, что файл заподозрен анализатором, еще не означает, что он опасен. Необходимо поместить подозрительные файлы в карантин AVZ и выслать мне на адрес newvirus@z-oleg.com. При создании архива вручную очень желательно задать пароль, иначе письмо может быть блокировано Вашим почтовым сервером;
    2. В письме необходимо кратко изложить суть проблемы, какие есть подозрение. Очень желательно приложить протокол AVZ
    3. Дождаться ответа с результатами анализа.Подробнее о обращении в техническую поддержку можно почитать в разделе "Техническая поддержка"

     

    Что делать, если AVZ выдал подозрение на keylogger ?

    При обнаружении подозрений на Keylogger или троянскую DLL следует действовать по схеме, описанной в совете "Что делать, если AVZ обнаружил подозрение на вирус ?". Кроме того, стоит заметить, что подозрение на клавиатурный перехватчик совершенно не означает, что обнаружен клавиатурный шпион. Известны сотни программ, которые устанавливают свои перехватчики клавиатуры и мыши для решения вполне мирных задач. Наиболее типичным примером является словарь Lingvo, который устанавливает свой перехватчик LvHook.dll для отслеживания нажатий на "горячие клавиши" - с одной стороны это перехватчик и анализатор AVZ на него реагирует, с другой - он совершенно безопасен. После анализа я вношу безопасные перехватчики в базу безопасных объектов и срабатывания на них прекращаются. По текущей статистике соотношение "опасный"/"безопасный" находится примерно на уровне 1/10, т.е. примерно на 10 безопасных модулей обнаруживается один вредоносный.


    Что делать, если AVZ выдал подозрение на RootKit ?

    В случае, если выдано подозрение на некоторый процесс или файл, то следует действовать по общей схеме ("Что делать, если AVZ обнаружил подозрение на вирус ?"), но перед отправкой файлов желательно прислать протокол работы AVZ - часто по протоколу можно многое объяснить.

    Следует понимать, что обнаружение перехвата тех или иных функций еще не означает, что в систему внедрился RootKit - возможно, перехват функций применяется антивирусным монитором, Firewall или иными утилитами. Например, весьма полезная и удобная утилита RegMon устанавливает свой драйвер для перехвата 13-ти функций KiST для слежения за операциями с реестром. По моей статистике примерно в одном случае из 50-80 перехват произведен вредоносной программой, в остальных случаях как правило это антивирусы и Firewall.

    В случае обнаружения подозрения на маскировку процесса однозначно следует разобраться, что это за процесс (программа). Обычные программы (не говоря уже о компонентах системы) не прибегают к маскировке своих процессов и файлов, поэтому маскирующийся процесс однозначно подозрителен. Однако однозначно судить о вредоносность нельзя - например, известен ряд безопасных программ, применяющих маскировку процесса и файлов для их защиты от обнаружения и удаления троянскими программами.


    Что такое 'Порт TCP 5000' и как с ним бороться ?

    AVZ часто находит порт открытый порт TCP 5000 и сообщает об этом. Этот порт принадлежит системной службе, называемой "Служба обнаружения SSDP". Если данная служба не применяется, то рекомендуется ее отключить (в данной службе в свое время был обнаружен  ряд уязвимостей).

    Для отключения необходимо:

    Нажать правую клавишу на ярлыком "Мой компьютер", в появившемся меню вызвать пункт "Управление"

    В открывшейся консоли "Управление компьютером" раскрыть "Службы и приложения", там - "Службы"

    В списке, который появится в правой стороне окна, следует найти службу с именем "Служба обнаружения SSDP"

    Двойной клик левой клавишей по строке данной службы откроет окно свойств, там необходимо выбрать тип запуска "Отключено", затем нажать кнопку "Стоп", затем - "ОК"


    После отключения службы обнаружения SSDP порт 5000 не должен прослушиваться - если прослушивание продолжается, то есть подозрение, что это Backdoor.


    Что делать, если после распаковки AVZ не может найти файл *.avz ?

    Если после распаковки AVZ сообщает о том, что не найден некий файл с расширение AVZ (чаще всего это файл main.avz), то необходимо проверить правильность распаковки. Дело в том, что базы утилиты AVZ хранятся в папке Base. Некоторые архиваторы некорректно распаковывают размещенный на сайте архив, в результате папка Base не извлекается из архива.

    Рекомендации - распаковать архив другим архиватором и убедиться, что в результате распаковки извлечена папка Base. Подробнее по структуре папок можно почитать в разделе Структура папок программы


    AVZ удалил вредоносные программы, но стартовая страница и прочие настройки браузера по прежнему повреждены

    Это типовая ситуация - AVZ не может точно знать, какие именно настройки повредила вредоносная программа. Для восстановления настроек необходимо воспользоваться опцией "Восстановлением системы". Если после восстановления настройки браузера по прежнему самопроизвольно меняются, то это первый признак того, что на компьютере есть вредоносные программы. В таком случае стоит провести Исследование системы и проанализировать полученный протокол.


    Во время сканирования диска мой антивирусный монитор сообщил, что файл avz*.tmp заражен вирусом или является вредоносной программой

    Подобные сообщения могут выдаваться антивирусными мониторами, при этом зараженный файл обнаруживается в папке TEMP и имеет имя вида avz_XXXX_Y.tmp. Это временные файлы, которые создаются AVZ в ходе проверки архивов, писем электронной почты, MHT файлов и т.п., причем XXXX - это PID процесса AVZ, а Y - уровень вложенности архива. Есть другой вариант имени файла - avz_XXXX_raw.tmp - подобные файлы создаются в ходе анализа объектов, доступ к кторым блокирован путем их монопольного открытия.

    Причина срабатывания заключается в том, что применяемый антивирусный сканер и монитор  почему-то не находит вирусы/трояны в каком-либо архиве. Можно выделить несколько типовых причин:

    В настройках антивируса и антивирусного монитора отключена проверка архивов

    Антивирус не умеет проверять данный тип архива

    Архив находится в папке, проверка которой запрещена в настройке антивируса и его монитора

    Когда архив попал на компьютер, в базе антивируса не было сигнатур содержащихся там вредоносных программ - поэтому монитор пропустил данный архив и позволил его сохранение.

    Соответственно в момент извлечения AVZ-ом файла из архива антивирусный монитор проверяет его и может обнаружить вредоносную программу. В этом случае срабатывание вполне объяснимо и дальнейшая реакция может быть любой, в частности

    Можно разрешить антивирусному монитору "вылечить" файл,

    Можно дать монитору команду проверку файла 

    В любом случае AVZ рассчитан на возможность неожиданного удаления временного файла или блокировки доступа к нему со стороны антивирусного монитора, поэтому сбоя в его работе не последует.


    Что делать, если выдается сообщение "Ошибка загрузки драйвера - проверка прервана"

    Сообщение "Ошибка загрузки драйвера - проверка прервана" может выводиться в протокол в случае ошибки загрузки драйвера avz. Причин возникновения ошибки несколько, наиболее распространенные:

    Нехватка прав. Для загрузки драйвера необходимо запускать AVZ из под учетной записи администратора или пользователя, имеющего право устанавливать и загружать драйвера

    Наличие запущенных систем проактивной защиты, для которых AVZ не является доверенным процессом. Эти системы могут блокировать загрузки и (или) установку драйвера

    Блокировка загрузки драйвера со стороны вредоносных программ

     

    Что делать, если в ходе обновления баз возникает ошибка

    Возможно несколько вариантов решения проблемы:

    Если в настройках обновлении используется режим "Использовать настройки Internet Explorer", то следует убедиться, что параметры доступа в Интернет заданы в настройках Internet Explorer, и у Internet Explorer не установлен режим "Работать автономно" (меню "Файл", пункт "Работать автономно". Если режим автономной работы включен, то перед данным пунктом в меню отображается "птичка")

    Меню "Файл/Стандартные скрипты" - выполнить скрипт "Обновление баз с автоматической настройкой". Данный скрипт пробует различные типовые комбинации настроек - в случае обнаружения подходящей конфигурации скрипт обновляет базу.

    Можно попробовать вручную выбрать другой источник обновления и (или) изменить настройки, например попробовать прямое соединение или соединение через прокси-сервер (в случае, если применяется прокси-сервер и известен его адрес и порт).


    Кроме того, необходимо убедиться, что:

    Настройки Firewall позволяют AVZ обращаться в Интернет. Загрузка баз ведется с указанных сайтов в настройке сайтов, порт 80, протокол - HTTP.

    Имеется устойчивое соединение с Интернет.

    Если обновить базы в автоматическом режиме не удается, то можно загрузить архив с базам вручную на странице загрузки AVZ. При этом объем загружаемой информации будет больше ввиду того, что автоматическое обновление загружает только обновленные или поврежденные файлы

    Что делать, если в ходе загрузки архива с AVZ возникают ошибки

    В данном случае можно выделить две типовых ситуации:

    Архив с AVZ не загружается. В данном случае точно проблему установить сложно, загрузка архива ведется по прямой ссылке, по протоколу HTTP, редиректы или системы типа "анти-ссылка" у меня на сайте не применяются. Возможно, проблемы с загрузкой связаны с высокой нагрузкой на сервер - после выхода новых версий AVZ в течении как минимум недели возникает ситуация poS из-за большого количества параллельных загрузок. В этом случае рекомендуется использовать указанные на странице загрузки AVZ зеркала.

    Архив загружается, но его распаковка показывает, что там старая версия. В данном случае проблема связана с некорректной работой применяемого для доступа в Интернет прокси сервера, который кеширует старую версию архива. В теории прокси-сервер должен проверить, обновился ли файла - и в случае обновления загрузить актуальную версию файла.


     

    В ходе проверки AVZ в активное окно вводится текстовая строка с текстом "test"

    В ходе проверки компьютера AVZ в активное окно может быть введена длинная строчка (типовое содержимое - повторяющееся слово test). Причина - работа антикейлоггера AVZ, который использует в своей работе поведенческий анализатор. Для работы поведенческий анализатор эмулирует события типа "клавиатура" и "мышь", и изучает реакцию на них со стороны подозреваемых библиотек. Если активным является окно AVZ, то все происходит корректно, в противном случае возникает описанная выше ситуация


     

    Под Vista не работают некоторые функции AVZ

    Под Windows Vista 64-bit не функционируют KernelMode компоненты AVZ - это связано с тем, что AVZ не поддерживает 64-bit платформы. Под Vista 32-bit все должно функционировать, но следует учесть, что под Vista приложения по умолчанию запускаются с ограниченными привилегиями. Для запуска приложения с правами администратора необходимо выделить avz.exe в проводнике, вызвать контекстное меню (правая кнопка мыши) и выбрать пункт "Запустить приложение с правами администратора". После этого будет выдан запрос системы UAC с просьбой подтвердить операцию


    Особенности применения AVZ на Windows Server 2003

    В случа запуска AVZ на сервере следует соблюдать особую осторожность и включать лечение / автоисправление только тогда, когда есть полная уверенность в надобности подобного исправления
     

    Типовые проблемы могут быть связаны с рядом моментов:

    В случае запуска AVZ из терминальной сессии система передает ему некорректный путь к системной папке - возвращаетмый системой путь указывает в профиль пользователя. Это может привести к сбоям в ряде менеджеров, в частности в анализаторе ошибок SPI


    На сервере могут периодически запускаться и завершаться фоновые процессы. Это может приводить к сбояв в работе антируткита, в частности он может подозревать маскировку некоторых процессов
     

    1. Нейтрализация перехватов в Kernel Mode, модификация настроек SPI, работа с автозапуском и т.п. оказывает глобальное воздействие на систему, поэтому необходимо выполнять данные операции с особой осторожность

     

    Что делать, если вредоносная программа блокирует запуск AVZ ?

    В этой ситуации следует:

    Переименовать папку AVZ, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.

    Переименовать avz.exe в что-то типа test.exe, game.pif, program.com

    Запускать AVZ с ключом: avz.exe ag=y (в этом случае при запуске AVZ включается AVZGuard, подробности о ключе см. в разделе Специализированные ключи)

    Приложениe термины, программы, вредоносные программы

     

    P.S.

    Подготовленным пользователям рекомендую посмотреть обсуждение "Скрипт AVZ для обнаружения опасных уязвимостей" автор  AndreyKa для автоматизации поиска уязвимостей компьютера.

    Собрал А.Сорокин,
    Подробнее на сайте Олега Зайцева

    Яндекс.Метрика

    <<назад>> <<в начало>> <<на главную>>

    Попасть прямо в разделы сайта можно здесь:

    При полном или частичном использовании материалов ссылка на "www.electrosad.ru" обязательна.
    Ваши замечания, предложения, вопросы можно отправить автору через
    гостевую книгу или почтой..

    Copyright © Sorokin A.D.©

    2002-2012 год